A Syslog tábla lekérdezései
Linux-kernelesemények keresése
Keresse meg a Linux-kernelfolyamat által jelentett eseményeket a megszakított folyamatokkal kapcsolatban.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Minden Syslog
Utolsó 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Minden hibával rendelkező Syslog
Az utolsó 100 Syslog és az erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Minden Syslog létesítmény szerint
Minden Syslog létesítmény szerint.
Syslog
| summarize count() by Facility
Minden Syslog folyamatnév szerint
Minden Syslog folyamatnév szerint.
Syslog
| summarize count() by ProcessName
Felhasználók hozzáadva a Linux-csoporthoz számítógép szerint
Listák linuxos csoportba felvett felhasználókkal rendelkező számítógépeket.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Számítógép által létrehozott új Linux-csoport
Listák új Linux-csoporttal rendelkező számítógépeket.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Sikertelen Linux-felhasználói jelszómódosítás
Listák számítógépeken a Wih nem tudta módosítani a Linux felhasználói jelszavát.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Sikertelen SSH-bejelentkezéssel rendelkező számítógépek
Listák sikertelen SSH-bejelentkezéssel rendelkező számítógépek.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Sikertelen su-bejelentkezéssel rendelkező számítógépek
Listák sikertelen su bejelentkezéssel rendelkező számítógépek.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Sikertelen Sudo-bejelentkezéssel rendelkező számítógépek
Listák sikertelen sudo bejelentkezéssel rendelkező számítógépeket.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: