Aracılığıyla paylaş

Syslog tablosu için sorgular

  • Makale

Azure portalında bu sorguları kullanma hakkında bilgi için bkz . Log Analytics öğreticisi. REST API için bkz . Sorgu.

Linux çekirdek olaylarını bulma

Sonlandırılan işlemlerle ilgili olarak Linux çekirdek işlemi tarafından bildirilen olayları bulun.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Tüm Syslog

Son 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Hataları olan tüm Syslog'lar

Erros ile son 100 Syslog.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Tesise göre tüm Syslog

Tesise göre tüm Syslog.

Syslog 
| summarize count() by Facility

İşlem adına göre tüm Syslog

İşlem adına göre tüm Syslog.

Syslog 
| summarize count() by ProcessName

Bilgisayara Göre Linux Grubuna Eklenen Kullanıcılar

Kullanıcıların Linux grubuna eklendiği bilgisayarları listeler.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Bilgisayar Tarafından Oluşturulan Yeni Linux Grubu

Yeni Linux grubu oluşturulan bilgisayarları listeler.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Başarısız Linux Kullanıcı Parolası Değişikliği

Başarısız Linux kullanıcı parolası değişikliği olan bilgisayarları listeler.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Başarısız Ssh OturumLarı Olan Bilgisayarlar

Başarısız ssh oturumları olan bilgisayarları listeler.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Başarısız Su OturumLarı Olan Bilgisayarlar

Başarısız su oturum açma işlemleri olan bilgisayarları listeler.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Başarısız Sudo OturumLarı Olan Bilgisayarlar

Başarısız sudo oturumları olan bilgisayarları listeler.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer