Syslog 테이블에 대한 쿼리
Linux 커널 이벤트 찾기
Linux 커널 프로세스에서 보고된 이벤트(종료된 프로세스 관련)를 찾습니다.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
모든 Syslog
마지막 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
오류가 있는 모든 Syslog
erros를 사용하는 마지막 100 Syslog.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
시설별 모든 Syslog
모든 Syslog by facilityslog.
Syslog
| summarize count() by Facility
프로세스 이름별 모든 Syslog
모든 Syslog by process name.
Syslog
| summarize count() by ProcessName
컴퓨터별 Linux 그룹에 추가된 사용자
Linux 그룹에 사용자가 추가된 컴퓨터를 Lists.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
컴퓨터에서 만든 새 Linux 그룹
새 Linux 그룹을 만든 컴퓨터를 Lists.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Linux 사용자 암호 변경 실패
Lists 컴퓨터 wih가 Linux 사용자 암호 변경에 실패했습니다.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
실패한 Ssh 로그온이 있는 컴퓨터
실패한 ssh 로그온이 있는 컴퓨터를 Lists.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
실패한 Su 로그온이 있는 컴퓨터
실패한 su 로그온이 있는 컴퓨터를 Lists.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
실패한 Sudo 로그온이 있는 컴퓨터
실패한 sudo 로그온이 있는 컴퓨터를 Lists.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기