Syslog テーブルのクエリ

  • [アーティクル]

Linux カーネル イベントを検索する

強制終了されたプロセスに関して、Linux カーネル プロセスによって報告されるイベントを検索します。

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

すべての Syslog

最後の 100 Syslog。

Syslog 
| top 100 by TimeGenerated desc

エラーがあるすべての Syslog

erros を含む最後の 100 Syslog。

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

施設別のすべての Syslog

施設別のすべての Syslog。

Syslog 
| summarize count() by Facility

プロセス名によるすべての Syslog

プロセス名によるすべての Syslog。

Syslog 
| summarize count() by ProcessName

コンピューター別の Linux グループに追加されたユーザー

ユーザーが Linux グループに追加されたコンピューターをListsします。

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

コンピューターによって作成された新しい Linux グループ

新しい Linux グループが作成されたコンピューターをListsします。

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

失敗した Linux ユーザー パスワードの変更

Listsコンピューターの Linux ユーザー パスワードの変更に失敗しました。

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

失敗した Ssh ログオンを持つコンピューター

失敗した ssh ログオンを使用してコンピューターをListsします。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Su ログオンに失敗したコンピューター

su ログオンに失敗したコンピューターをListsします。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

失敗した Sudo ログオンを持つコンピューター

sudo ログオンに失敗したコンピューターをListsします。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer