使用函式建立剖析器
剖析器是一種函式,用來定義已剖析非結構化字串欄位的虛擬資料表,例如: Syslog 資料。
在 [記錄] 視窗中,您可以建立查詢,選取 [儲存] 按鈕,輸入名稱,然後從下拉式清單中選取 [另存為函式]。 在這種情況下,如果將函式命名為 "PrivLogins",之後便能使用 PrivLogins 這個名稱來存取資料表。
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins
剖析器是一種函式,用來定義已剖析非結構化字串欄位的虛擬資料表,例如: Syslog 資料。
在 [記錄] 視窗中,您可以建立查詢,選取 [儲存] 按鈕,輸入名稱,然後從下拉式清單中選取 [另存為函式]。 在這種情況下,如果將函式命名為 "PrivLogins",之後便能使用 PrivLogins 這個名稱來存取資料表。
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins