Freigeben über

Abfragen für die Syslog-Tabelle

  • Artikel

Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".

Linux-Kernelereignisse suchen

Suchen Sie nach vom Linux-Kernelprozess gemeldeten Ereignissen zu beendeten Prozessen.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Alle Syslog

Letzte 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Alle Syslog mit Fehlern

Letzte 100 Syslog mit Erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Alle Syslog nach Einrichtung

Alle Syslog nach Einrichtung.

Syslog 
| summarize count() by Facility

Alle Syslog nach Prozessname

Alle Syslog nach Prozessname.

Syslog 
| summarize count() by ProcessName

Benutzer, die der Linux-Gruppe nach Computer hinzugefügt wurden

Listet Computer mit Benutzern auf, die der Linux-Gruppe hinzugefügt wurden.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Neue Linux-Gruppe erstellt von Computer

Listet Computer mit erstellter neuer Linux-Gruppe auf.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Fehlgeschlagene Änderung des Linux-Benutzerkennworts

Listet Computer auf, für die die Änderung des Linux-Benutzerkennworts fehlgeschlagen ist.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Computer mit fehlgeschlagenen SSH-Anmeldungen

Listet Computer mit fehlgeschlagenen SSH-Anmeldungen auf.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Computer mit fehlgeschlagenen Su-Anmeldungen

Listet Computer mit fehlgeschlagenen Su-Anmeldungen auf.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Computer mit fehlgeschlagenen Sudo-Anmeldungen

Listet Computer mit fehlgeschlagenen sudo-Anmeldungen auf.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer