Dela via

Frågor för Syslog-tabellen

  • Artikel

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Hitta Linux-kernelhändelser

Hitta händelser som rapporterats av Linux-kernelprocessen när det gäller avlivade processer.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Alla Syslog

Senaste 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Alla Syslog med fel

Senaste 100 Syslog med erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Alla Syslog efter anläggning

Alla Syslog per anläggning.

Syslog 
| summarize count() by Facility

Alla Syslog efter processnamn

Alla Syslog efter processnamn.

Syslog 
| summarize count() by ProcessName

Användare som har lagts till i Linux-grupp efter dator

Visar en lista över datorer med användare som lagts till i Linux-gruppen.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Ny Linux-grupp skapad av dator

Visar en lista över datorer med en ny Linux-grupp som skapats.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Lösenordsändring för Linux-användare misslyckades

Visar en lista över datorer som har misslyckats med lösenordsändring för Linux-användare.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Datorer med misslyckade Ssh-inloggningar

Visar datorer med misslyckade ssh-inloggningar.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Datorer med misslyckade Su-inloggningar

Visar en lista över datorer med misslyckade su-inloggningar.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Datorer med misslyckade Sudo-inloggningar

Visar datorer med misslyckade sudo-inloggningar.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer