index="nk_ad" EventCode=4624 TargetUserName!="*$"
| eval time_hm=strftime(_time, "%H:%M"), day_of_week=strftime(_time, "%u")
| where (time_hm < "06:45" OR time_hm > "17:15") OR day_of_week > 5
| eval CzyAdmin=if(match(TargetUserName, "(?i).*admin.*|(?i)adm_.*"), "TAK", "NIE")
| stats latest(_time) as OstatniCzas, count as LiczbaLogowan, values(IpAddress) as AdresyIP by TargetUserName, CzyAdmin
| eval OstatnieLogowanie=strftime(OstatniCzas, "%Y-%m-%d %H:%M:%S")
| rename TargetUserName as "Użytkownik", CzyAdmin as "Konto Admina", LiczbaLogowan as "Ilość Zdarzeń", AdresyIP as "Źródłowe IP"
| table "Użytkownik", "Konto Admina", "Ilość Zdarzeń", "Źródłowe IP", OstatnieLogowanie
| sort - "Ilość Zdarzeń"

index="nk_ad" EventCode=4624 TargetUserName!="*$"
| eval time_hm=strftime(_time, "%H:%M"), day_of_week=strftime(_time, "%u")
| where (time_hm < "06:45" OR time_hm > "17:15") OR day_of_week > 5
| eval CzyAdmin=if(match(TargetUserName, "(?i).*admin.*|(?i)adm_.*"), "TAK", "NIE")
| stats latest(_time) as OstatniCzas, count as LiczbaLogowan, values(IpAddress) as AdresyIP by TargetUserName, CzyAdmin
| eval OstatnieLogowanie=strftime(OstatniCzas, "%Y-%m-%d %H:%M:%S")
| rename TargetUserName as "Użytkownik", CzyAdmin as "Konto Admina", LiczbaLogowan as "Ilość Zdarzeń", AdresyIP as "Źródłowe IP"
| table "Użytkownik", "Konto Admina", "Ilość Zdarzeń", "Źródłowe IP", OstatnieLogowanie
| sort - "Ilość Zdarzeń"