Dotazy na tabulku Syslog
Vyhledání událostí jádra Linuxu
Vyhledejte události hlášené procesem jádra Linuxu, které se týkají zabitých procesů.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Všechny syslogy
Posledních 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Všechny syslog s chybami
Posledních 100 Syslog s erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Všechny syslog podle zařízení
Všechny syslog podle zařízení.
Syslog
| summarize count() by Facility
Všechny syslog podle názvu procesu
Všechny syslog podle názvu procesu.
Syslog
| summarize count() by ProcessName
Uživatelé přidaní do skupiny Linuxu podle počítače
Seznamy počítače s uživateli přidanými do skupiny Linuxu.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Nová skupina Linuxu vytvořená počítačem
Seznamy počítačů s vytvořenou novou skupinou Linuxu.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Neúspěšná změna hesla uživatele Linuxu
Seznamy počítačů s neúspěšnou změnou hesla uživatele Linuxu.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Počítače s neúspěšným přihlášením SSH
Seznamy počítačů s neúspěšným přihlášením SSH.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Počítače s neúspěšným přihlášením SU
Seznamy počítačů s neúspěšným přihlášením SU.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Počítače s neúspěšnými přihlášeními sudo
Seznamy počítačů s neúspěšným přihlášením sudo.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro