Megosztás a következőn keresztül:

A Syslog-tábla lekérdezései

  • Cikk

A lekérdezések Azure Portalon való használatáról további információt a Log Analytics oktatóanyagában talál. A REST API-val kapcsolatban lásd a Lekérdezést.

Linux kernelesemények keresése

A Linux kernelfolyamat által jelentett események keresése az elpusztult folyamatokkal kapcsolatban.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Az összes syslog

Utolsó 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Az összes syslog hibával

Utolsó 100 Syslog erros-nal.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Az összes Syslog létesítmény szerint

Minden Syslog létesítmény szerint.

Syslog 
| summarize count() by Facility

Minden Syslog folyamatnév alapján

Minden Syslog folyamatnév alapján.

Syslog 
| summarize count() by ProcessName

Felhasználók hozzáadva a Linux-csoporthoz számítógép szerint

A Linux-csoporthoz hozzáadott felhasználókkal rendelkező számítógépek listája.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Számítógép által létrehozott új Linux-csoport

Az új Linux-csoporttal rendelkező számítógépek listája.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Sikertelen linuxos felhasználói jelszómódosítás

A linuxos felhasználók jelszómódosításának sikertelen számítógépeit sorolja fel.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Sikertelen Ssh-bejelentkezéssel rendelkező számítógépek

A sikertelen ssh-bejelentkezéssel rendelkező számítógépek listája.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Sikertelen bejelentkezéssel rendelkező számítógépek

A sikertelen bejelentkezéssel rendelkező számítógépek listája.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Sikertelen Sudo-bejelentkezéssel rendelkező számítógépek

A sikertelen sudo-bejelentkezéssel rendelkező számítógépek listája.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer