Zapytania dotyczące tabeli Syslog

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Znajdowanie zdarzeń jądra systemu Linux

Znajdowanie zdarzeń zgłaszanych przez proces jądra systemu Linux w odniesieniu do procesów zabitych.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Wszystkie dzienniki systemowe

Ostatni 100 dziennik systemowy.

Syslog 
| top 100 by TimeGenerated desc

Wszystkie dzienniki systemowe z błędami

Ostatni 100 dziennik syslog z erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Wszystkie dzienniki systemowe według obiektu

Wszystkie dzienniki systemowe według obiektu.

Syslog 
| summarize count() by Facility

Wszystkie dzienniki syslog według nazwy procesu

Wszystkie dzienniki systemowe według nazwy procesu.

Syslog 
| summarize count() by ProcessName

Użytkownicy dodani do grupy systemu Linux według komputera

Wyświetla listę komputerów z użytkownikami dodanymi do grupy systemu Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Nowa grupa systemu Linux utworzona przez komputer

Wyświetla listę komputerów z utworzoną nową grupą systemu Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Nieudana zmiana hasła użytkownika systemu Linux

Wyświetla listę komputerów wih nieudane zmiany hasła użytkownika systemu Linux.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Komputery z nieudanymi logowaniami protokołu SSH

Wyświetla listę komputerów z nieudanymi logowaniami SSH.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Komputery z nieudanymi logowaniami Su

Wyświetla listę komputerów z nieudanymi logowaniami su.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Komputery z nieudanymi logowaniami sudo

Wyświetla listę komputerów z nieudanymi logowaniami sudo.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer