Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
Eventos de directiva de auditoría de WindowsEvent
Mostrar eventos en los que se borraron las auditorías (EventId = 1102) o cambiaron (EventId = 4719).
WindowsEvent
| where Provider == 'Microsoft-Windows-Security-Auditing'
| where EventID == 1102 or EventID == 4719
| extend DescriptionMessage = iff(EventID == 1102, 'Audit log was cleared', 'System audit policy was changed')
| take 100