Condividi tramite

Query per la tabella CommonSecurityLog

  • Articolo

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Utilizzo della macchina da agente di raccolta Palo Alto

Questa query visualizza un elenco decrescente di tutti i computer dell'agente di raccolta hostname in base alla quantità di eventi ricevuti da un'appliance Palo Alto.

CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc

Utilizzo del tipo di eventi Cisco ASA

Questa query visualizza un elenco decrescente della quantità di eventi inseriti per ogni DeviceEventClassID

CommonSecurityLog 
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc

Statistiche del volume degli eventi del dispositivo

Dispositivi che inviano la maggior parte degli eventi.

CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
  top-nested 5 of DeviceProduct by Product=count(),
  top-nested 5 of DeviceVersion by Version=count()