创建具有函数的分析程序
分析程序是定义虚拟表(具有已分析的非结构化字符串字段,例如 Syslog 数据)的函数。
在“日志”窗口中,创建一个查询,选择“保存”按钮,输入名称,然后从下拉列表中选择“另存为函数”。 在这种情况下,如果将函数命名为“PrivLogins”,之后即可使用名称 PrivLogins 访问表。
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins
分析程序是定义虚拟表(具有已分析的非结构化字符串字段,例如 Syslog 数据)的函数。
在“日志”窗口中,创建一个查询,选择“保存”按钮,输入名称,然后从下拉列表中选择“另存为函数”。 在这种情况下,如果将函数命名为“PrivLogins”,之后即可使用名称 PrivLogins 访问表。
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins