Bagikan melalui

Kueri untuk tabel Syslog

  • Artikel

Untuk informasi tentang menggunakan kueri ini di portal Azure, lihat tutorial Analitik Log. Untuk REST API, lihat Kueri.

Menemukan peristiwa kernel Linux

Temukan peristiwa yang dilaporkan oleh proses kernel Linux, mengenai proses yang dimatikan.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Semua Syslog

100 Syslog terakhir.

Syslog 
| top 100 by TimeGenerated desc

Semua Syslog dengan kesalahan

Terakhir 100 Syslog dengan erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Semua Syslog berdasarkan fasilitas

Semua Syslog berdasarkan fasilitas.

Syslog 
| summarize count() by Facility

Semua Syslog menurut nama proses

Semua Syslog menurut nama proses.

Syslog 
| summarize count() by ProcessName

Pengguna Ditambahkan ke Grup Linux menurut Komputer

Mencantumkan komputer dengan pengguna yang ditambahkan ke grup Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Grup Linux Baru Dibuat oleh Komputer

Mencantumkan komputer dengan grup Linux baru yang dibuat.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Perubahan Kata Sandi Pengguna Linux gagal

Mencantumkan komputer wih perubahan kata sandi pengguna Linux yang gagal.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Komputer Dengan Logon Ssh Gagal

Mencantumkan komputer dengan logon ssh yang gagal.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Komputer Dengan Logon Su Gagal

Mencantumkan komputer dengan logon su yang gagal.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Komputer Dengan Logon Sudo Gagal

Mencantumkan komputer dengan logon sudo yang gagal.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer