Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".
Linux-Kernelereignisse suchen
Suchen Sie nach vom Linux-Kernelprozess gemeldeten Ereignissen zu beendeten Prozessen.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Alle Syslog-Einträge
Letzte 100 Syslog-Einträge.
Syslog
| top 100 by TimeGenerated desc
Alle Syslog mit Fehlern
Letzte 100 Syslogs mit Fehlern.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Alle Syslog-Einträge nach Einrichtung
Alle Syslog-Einträge nach Einrichtung
Syslog
| summarize count() by Facility
Alle Syslog-Einträge sortiert nach Prozessnamen
Alle Syslog-Einträge nach Prozessname
Syslog
| summarize count() by ProcessName
Benutzer, die von einem Computer zur Linux-Gruppe hinzugefügt wurden
Listet Computer mit Benutzern auf, die der Linux-Gruppe hinzugefügt wurden.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Neue Linux-Gruppe erstellt von Computer
Listet Computer mit erstellter neuer Linux-Gruppe auf.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Fehlgeschlagene Änderung des Linux-Benutzerkennworts
Listet Computer auf, für die die Änderung des Linux-Benutzerkennworts fehlgeschlagen ist.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Computer mit fehlgeschlagenen SSH-Anmeldungen
Listet Computer mit fehlgeschlagenen SSH-Anmeldungen auf.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Computer mit Fehlern bei SU-Anmeldungen
Listet Computer mit fehlgeschlagenen su-Anmeldungen auf.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Computer mit fehlgeschlagenen Sudo-Login-Versuchen
Listet Computer mit fehlgeschlagenen sudo-Anmeldeversuchen auf.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer