我已经在安全中心内创建了一个自定义警报,以在查询Windows EventID 4624时向我发出警报。
尽管出于某种原因,查询在我测试时是成功的,但不会在安全事件中心内触发。
我已启用警报2天,没有触发。
搜索查询:
search in (SecurityEvent) EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
评估:
每5分钟 基于阈值0的更大警报。