Compartir a través de

Consultas para la tabla syslog

  • Artículo

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Búsqueda de eventos de kernel de Linux

Encuentre eventos detectados por el proceso del kernel de Linux en relación con los procesos terminados.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Todo Syslog

Últimos 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Todo Syslog con errores

Últimos 100 Syslog con erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Todo Syslog por instalación

Todo Syslog por instalación.

Syslog 
| summarize count() by Facility

Todo Syslog por nombre de proceso

Todo Syslog por nombre de proceso.

Syslog 
| summarize count() by ProcessName

Usuarios agregados al grupo de Linux por equipo

Enumera los equipos con usuarios agregados al grupo de Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Nuevo grupo de Linux creado por equipo

Enumera los equipos con el nuevo grupo de Linux creado.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Error al cambiar la contraseña de usuario de Linux

Enumera los equipos con errores de cambio de contraseña de usuario de Linux.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Equipos con inicios de sesión ssh con errores

Enumera los equipos con inicios de sesión ssh con errores.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Equipos con inicios de sesión su erróneos

Enumera los equipos con inicios de sesión su erróneos.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Equipos con inicios de sesión de Sudo con errores

Enumera los equipos con inicios de sesión de sudo con errores.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer