CommonSecurityLog 테이블에 대한 쿼리
Palo Alto 수집기 컴퓨터 사용
이 쿼리는 Palo Alto 어플라이언스 수신하는 이벤트의 양에 따라 모든 수집기 컴퓨터 호스트 이름의 내림차순 목록을 표시합니다.
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc
Cisco ASA 이벤트 유형 사용
이 쿼리는 각 DeviceEventClassID에 대해 수집된 이벤트 양의 내림차순 목록을 표시합니다.
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc
디바이스 이벤트 볼륨 통계
대부분의 이벤트를 보내는 디바이스.
CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
top-nested 5 of DeviceProduct by Product=count(),
top-nested 5 of DeviceVersion by Version=count()
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기