Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per informazioni sull'uso di queste query nel portale di Azure, vedere l'esercitazione su Log Analytics. Per l'API REST, vedere Query.
Trova eventi kernel Linux
Trova gli eventi segnalati dal processo del kernel Linux, riguardanti i processi terminati.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Tutti i Syslog
Ultimi 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Tutti i syslog con errori
Ultimi 100 Syslog con errori.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Tutti i Syslog per funzionalità
Tutti i Syslog in base alla struttura.
Syslog
| summarize count() by Facility
Tutti i syslog per nome del processo
Tutti i Syslog in base al nome del processo.
Syslog
| summarize count() by ProcessName
Utenti aggiunti al gruppo Linux dal computer
Elenca i computer con gli utenti aggiunti al gruppo Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Nuovo gruppo Linux creato dal computer
Elenca i computer con il nuovo gruppo Linux creato.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Modifica della password utente Linux non riuscita
Elenca i computer che non hanno superato la modifica della password utente linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Computer con accessi SSH non riusciti
Elenca i computer con accessi SSH non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Computer con accessi SU non riusciti
Elenca i computer con accessi non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Computer con accessi Sudo non riusciti
Elenca i computer con accessi sudo non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer