Partager via

Requêtes pour la table Syslog

  • Article

Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.

Rechercher des événements du noyau Linux

Rechercher les événements signalés par le processus du noyau Linux, concernant les processus terminés de force.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Tous syslog

Dernier 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Tous syslog avec des erreurs

Dernier 100 Syslog avec erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Toutes les installations Syslog par installation

Tous syslog par installation.

Syslog 
| summarize count() by Facility

Tous syslog par nom de processus

Tous syslog par nom de processus.

Syslog 
| summarize count() by ProcessName

Utilisateurs ajoutés au groupe Linux par ordinateur

Répertorie les ordinateurs avec des utilisateurs ajoutés au groupe Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Nouveau groupe Linux créé par ordinateur

Répertorie les ordinateurs avec un nouveau groupe Linux créé.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Échec de la modification du mot de passe utilisateur Linux

Répertorie les ordinateurs ayant échoué lors de la modification du mot de passe utilisateur Linux.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Ordinateurs avec échec des connexions Ssh

Répertorie les ordinateurs avec des connexions ssh ayant échoué.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Ordinateurs avec échec de l’ouverture de session Su

Répertorie les ordinateurs avec échec des connexions su.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Ordinateurs avec échec sudo Logons

Répertorie les ordinateurs avec des journaux sudo ayant échoué.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer