استعلامات لجدول CommonSecurityLog

للحصول على معلومات حول استخدام هذه الاستعلامات في مدخل Microsoft Azure، راجع البرنامج التعليمي Log Analytics. للحصول على واجهة برمجة تطبيقات REST، راجع الاستعلام.

استخدام جهاز جامع Palo Alto

يعرض هذا الاستعلام قائمة تنازلية بجميع أسماء مضيف أجهزة المجمع وفقا لكمية الأحداث التي يتلقونها من جهاز Palo Alto.

CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc

استخدام نوع أحداث Cisco ASA

يعرض هذا الاستعلام قائمة تنازلية لكمية الأحداث التي تم تناولها لكل DeviceEventClassID

CommonSecurityLog 
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc

إحصائيات حجم أحداث الجهاز

الأجهزة التي ترسل معظم الأحداث.

CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
  top-nested 5 of DeviceProduct by Product=count(),
  top-nested 5 of DeviceVersion by Version=count()