استعلامات لجدول Syslog
للحصول على معلومات حول استخدام هذه الاستعلامات في مدخل Microsoft Azure، راجع البرنامج التعليمي Log Analytics. للحصول على واجهة برمجة تطبيقات REST، راجع الاستعلام.
البحث عن أحداث Linux kernel
ابحث عن الأحداث التي تم الإبلاغ عنها بواسطة عملية Linux kernel، فيما يتعلق بالعمليات التي تم إيقافها.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
جميع Syslog
آخر 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
جميع Syslog مع أخطاء
آخر 100 Syslog مع erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
جميع Syslog حسب المرفق
كل Syslog حسب المنشأة.
Syslog
| summarize count() by Facility
جميع Syslog حسب اسم العملية
جميع Syslog حسب اسم العملية.
Syslog
| summarize count() by ProcessName
المستخدمون الذين تمت إضافتهم إلى مجموعة Linux حسب الكمبيوتر
يسرد أجهزة الكمبيوتر مع المستخدمين الذين تمت إضافتهم إلى مجموعة Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
مجموعة Linux الجديدة التي تم إنشاؤها بواسطة الكمبيوتر
يسرد أجهزة الكمبيوتر مع مجموعة Linux الجديدة التي تم إنشاؤها.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
فشل تغيير كلمة مرور مستخدم Linux
يسرد أجهزة الكمبيوتر التي فشلت في تغيير كلمة مرور مستخدم Linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
أجهزة الكمبيوتر التي بها عمليات تسجيل دخول Ssh فاشلة
يسرد أجهزة الكمبيوتر التي بها عمليات تسجيل دخول ssh فاشلة.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
أجهزة الكمبيوتر التي تحتوي على عمليات تسجيل دخول Su فاشلة
يسرد أجهزة الكمبيوتر التي بها عمليات تسجيل دخول فاشلة.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
أجهزة الكمبيوتر التي بها عمليات تسجيل دخول Sudo فاشلة
يسرد أجهزة الكمبيوتر التي بها عمليات تسجيل دخول sudo فاشلة.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer