Query per la tabella Syslog
Trovare eventi del kernel Linux
Trovare gli eventi segnalati dal processo del kernel Linux, relativi ai processi eliminati.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Tutti i syslog
Ultimi 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Tutti i syslog con errori
Ultimi 100 Syslog con erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Tutti i syslog per struttura
Tutti Syslog per struttura.
Syslog
| summarize count() by Facility
Tutti i syslog in base al nome del processo
Tutti i syslog in base al nome del processo.
Syslog
| summarize count() by ProcessName
Utenti aggiunti al gruppo Linux per computer
Elenchi computer con utenti aggiunti al gruppo Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Nuovo gruppo Linux creato dal computer
Elenchi computer con il nuovo gruppo Linux creato.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Modifica della password utente Linux non riuscita
Elenchi computer che non sono riusciti a modificare la password utente linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Computer con accessi SSH non riusciti
Elenchi computer con accessi SSH non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Computer con accesso su non riuscito
Elenchi computer con accessi non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Computer con accessi Sudo non riusciti
Elenchi computer con accessi sudo non riusciti.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per