Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения об использовании этих запросов в Azure Portal см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".
Поиск событий ядра Linux
Найдите события, зафиксированные процессом ядра Linux, касающиеся убитых процессов.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Все системные журналы
Последние 100 системных логов.
Syslog
| top 100 by TimeGenerated desc
Все системные журналы с ошибками
Последние 100 системных журналов с ошибками.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Все системные журналы по объекту
Все системные журналы по объекту.
Syslog
| summarize count() by Facility
Все системные журналы, сгруппированные по имени процесса
Все системные логи по имени процесса.
Syslog
| summarize count() by ProcessName
Пользователи, добавленные в группу Linux с помощью компьютера
Выводит список компьютеров с пользователями, добавленными в группу Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Новая группа Linux, созданная компьютером
Выводит список компьютеров с созданной новой группой Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Не удалось изменить пароль пользователя Linux
Выводит список компьютеров с ошибкой изменения пароля пользователя Linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Компьютеры с неудачным входом в систему SSH
Выводит список компьютеров с неудачным входом в систему SSH.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Компьютеры с неудачным входом в систему
Выводит список компьютеров с неудачным входом в систему.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Компьютеры с неудачными попытками входа в sudo
Выводит список компьютеров с неуспешными попытками входа через команду sudo.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer