WindowsEvent 表的查询
有关在 Azure 门户中使用这些查询的信息,请参阅 Log Analytics 教程。 有关 REST API,请参阅查询。
WindowsEvent 审核策略事件
显示审核被清除 (EventId = 1102) 或更改 (EventId = 4719) 的事件。
WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing'
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100