함수를 사용하여 파서 생성
파서는 Syslog 데이터와 같이 비구조화된 문자열을 사용하여 사전에 구문 분석한 가상 테이블을 정의하는 함수입니다.
로그 창에서 쿼리를 만들고 저장 단추를 선택한 다음, 이름을 입력하고 드롭다운에서 함수로 저장을 선택합니다. 이 경우 함수 이름을 “PrivLogins”로 지정합니다. 그런 다음 PrivLogins라는 이름을 사용하여 테이블에 액세스할 수 있습니다.
SecurityEvent
| where EventID == 4672 and AccountType == 'User'
PrivLogins