Syslog テーブルのクエリ

[アーティクル]
11/05/2024

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

Linux カーネルイベントを検索する

強制終了されたプロセスに関して Linux カーネルプロセスによって処理されたイベントを検索します。

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

すべての Syslog

最後の 100 Syslog。

Syslog 
| top 100 by TimeGenerated desc

エラーのあるすべての Syslog

erros を含む最後の 100 Syslog。

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

施設別のすべての Syslog

ファシリティ別のすべての Syslog。

Syslog 
| summarize count() by Facility

プロセス名によるすべての Syslog

プロセス名によるすべての Syslog。

Syslog 
| summarize count() by ProcessName

コンピューター別の Linux グループに追加されたユーザー

ユーザーが Linux グループに追加されたコンピューターを一覧表示します。

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

コンピューターによって作成された新しい Linux グループ

新しい Linux グループが作成されたコンピューターを一覧表示します。

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

失敗した Linux ユーザーパスワードの変更

失敗した Linux ユーザーパスワードの変更に失敗したコンピューターを一覧表示します。

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Ssh ログオンに失敗したコンピューター

失敗した ssh ログオンを持つコンピューターを一覧表示します。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Su ログオンに失敗したコンピューター

su ログオンに失敗したコンピューターを一覧表示します。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Sudo ログオンに失敗したコンピューター

sudo ログオンが失敗したコンピューターを一覧表示します。

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer

次の方法で共有

Syslog テーブルのクエリ

Linux カーネルイベントを検索する

すべての Syslog

エラーのあるすべての Syslog

施設別のすべての Syslog

プロセス名によるすべての Syslog

コンピューター別の Linux グループに追加されたユーザー

コンピューターによって作成された新しい Linux グループ

失敗した Linux ユーザーパスワードの変更

Ssh ログオンに失敗したコンピューター

Su ログオンに失敗したコンピューター

Sudo ログオンに失敗したコンピューター

フィードバック

その他のリソース

次の方法で共有

Syslog テーブルのクエリ

Linux カーネル イベントを検索する

すべての Syslog

エラーのあるすべての Syslog

施設別のすべての Syslog

プロセス名によるすべての Syslog

コンピューター別の Linux グループに追加されたユーザー

コンピューターによって作成された新しい Linux グループ

失敗した Linux ユーザー パスワードの変更

Ssh ログオンに失敗したコンピューター

Su ログオンに失敗したコンピューター

Sudo ログオンに失敗したコンピューター

フィードバック

その他のリソース

Linux カーネルイベントを検索する

失敗した Linux ユーザーパスワードの変更