Syslog テーブルのクエリ
Linux カーネル イベントを検索する
強制終了されたプロセスに関して、Linux カーネル プロセスによって報告されるイベントを検索します。
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
すべての Syslog
最後の 100 Syslog。
Syslog
| top 100 by TimeGenerated desc
エラーがあるすべての Syslog
erros を含む最後の 100 Syslog。
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
施設別のすべての Syslog
施設別のすべての Syslog。
Syslog
| summarize count() by Facility
プロセス名によるすべての Syslog
プロセス名によるすべての Syslog。
Syslog
| summarize count() by ProcessName
コンピューター別の Linux グループに追加されたユーザー
ユーザーが Linux グループに追加されたコンピューターをListsします。
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
コンピューターによって作成された新しい Linux グループ
新しい Linux グループが作成されたコンピューターをListsします。
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
失敗した Linux ユーザー パスワードの変更
Listsコンピューターの Linux ユーザー パスワードの変更に失敗しました。
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
失敗した Ssh ログオンを持つコンピューター
失敗した ssh ログオンを使用してコンピューターをListsします。
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Su ログオンに失敗したコンピューター
su ログオンに失敗したコンピューターをListsします。
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
失敗した Sudo ログオンを持つコンピューター
sudo ログオンに失敗したコンピューターをListsします。
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示