Delen via

Query's voor de Syslog-tabel

  • Artikel

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

Linux-kernel-gebeurtenissen zoeken

Zoek gebeurtenissen die zijn gerapporteerd door het Linux-kernelproces, met betrekking tot gedoode processen.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Alle Syslog

Laatste 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Alle Syslog met fouten

Laatste 100 Syslog met erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Alle Syslog per faciliteit

Alle Syslog per faciliteit.

Syslog 
| summarize count() by Facility

Alle Syslog op procesnaam

Alle Syslog op procesnaam.

Syslog 
| summarize count() by ProcessName

Gebruikers toegevoegd aan Linux-groep per computer

Geeft een lijst weer van computers met gebruikers die zijn toegevoegd aan de Linux-groep.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Nieuwe Linux-groep gemaakt op computer

Geeft een lijst weer van computers waarop een nieuwe Linux-groep is gemaakt.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Wachtwoordwijziging voor Linux-gebruiker is mislukt

Geeft een lijst weer van computers waarop het wijzigen van het linux-gebruikerswachtwoord is mislukt.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Computers met mislukte SSH-aanmeldingen

Geeft een lijst weer van computers met mislukte SSH-aanmeldingen.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Computers met mislukte Su-aanmeldingen

Geeft een lijst weer van computers met mislukte su-aanmeldingen.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Computers met mislukte Sudo-aanmeldingen

Geeft een lijst weer van computers met mislukte sudo-aanmeldingen.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer