Query per la tabella WindowsEvent

Articolo
11/05/2024

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Eventi dei criteri di controllo di WindowsEvent

Visualizzare gli eventi in cui i controlli sono stati cancellati (EventId = 1102) o modificati (EventId = 4719).

WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing' 
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100