Consultas para a tabela WindowsEvent
Eventos da Política de Auditoria do WindowsEvent
Apresentar eventos em que as auditorias foram desmarcadas (EventId = 1102) ou alteradas (EventId = 4719).
WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing'
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários