Frågor för tabellen CommonSecurityLog
Användning av Palo Alto Collector-dator
Den här frågan visar en fallande lista över värdnamnet för alla insamlardatorer enligt mängden händelser som de tar emot från en Palo Alto-installation.
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc
Användning av Cisco ASA-händelsetyp
Den här frågan visar en fallande lista över antalet händelser som matats in för varje DeviceEventClassID
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc
Volymstatistik för enhetshändelser
Enheter som skickar de flesta händelser.
CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
top-nested 5 of DeviceProduct by Product=count(),
top-nested 5 of DeviceVersion by Version=count()
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för