Partager via

Requêtes pour la table CommonSecurityLog

  • Article

Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.

Utilisation de la machine collecteur Palo Alto

Cette requête affiche une liste décroissante de tous les noms d’hôte des ordinateurs collecteurs en fonction de la quantité d’événements qu’ils reçoivent à partir d’une appliance Palo Alto.

CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc

Utilisation des types d’événements Cisco ASA

Cette requête affiche une liste décroissante de la quantité d’événements ingérés pour chaque DeviceEventClassID

CommonSecurityLog 
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc

Statistiques du volume des événements d’appareil

Appareils envoyant la plupart des événements.

CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
  top-nested 5 of DeviceProduct by Product=count(),
  top-nested 5 of DeviceVersion by Version=count()