Sdílet prostřednictvím

Dotazy na tabulku Syslog

  • Článek

Informace o používání těchto dotazů na webu Azure Portal najdete v kurzu služby Log Analytics. Informace o rozhraní REST API najdete v tématu Dotaz.

Vyhledání událostí jádra Linuxu

Vyhledejte události hlášené procesem jádra Linuxu, které se týkají mrtvých procesů.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Všechny syslogy

Posledních 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Všechny syslogy s chybami

Posledních 100 Syslog s erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Všechny Syslog podle zařízení

Všechny Syslog podle zařízení.

Syslog 
| summarize count() by Facility

Všechny syslog podle názvu procesu

Všechny Syslog podle názvu procesu.

Syslog 
| summarize count() by ProcessName

Uživatelé přidaní do skupiny Linuxu podle počítače

Zobrazí seznam počítačů s uživateli přidanými do skupiny Linuxu.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Nová skupina Linux vytvořená počítačem

Zobrazí seznam počítačů s vytvořenou novou skupinou Linuxu.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Změna hesla uživatele v Linuxu se nezdařila

Uvádí seznam počítačů, u které došlo ke změně hesla uživatele v Linuxu.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Počítače s neúspěšnými přihlášeními SSH

Zobrazí seznam počítačů s neúspěšnými přihlášeními SSH.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Počítače s neúspěšnými přihlášeními SU

Zobrazí seznam počítačů s neúspěšnými přihlášeními su.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Počítače s neúspěšnými přihlášeními sudo

Zobrazí seznam počítačů s neúspěšnými přihlášeními sudo.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer