Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
Hitta Linux-kernelhändelser
Hitta händelser som rapporterats av Linux-kernelprocessen när det gäller avlivade processer.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Alla Syslog
Senaste 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Alla Syslog med fel
Senaste 100 Syslog med fel.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Alla Syslog efter anläggning
Alla Syslog per anläggning.
Syslog
| summarize count() by Facility
Alla Syslog efter processnamn
Alla Syslog efter processnamn.
Syslog
| summarize count() by ProcessName
Användare som har lagts till i Linux-grupp efter dator
Visar en lista över datorer med användare som lagts till i Linux-gruppen.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Ny Linux-grupp skapad av dator
Visar en lista över datorer med en ny Linux-grupp som skapats.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Lösenordsändring för Linux-användare misslyckades
Visar en lista över datorer som har misslyckats med lösenordsändring för Linux-användare.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Datorer med misslyckade Ssh-inloggningar
Visar datorer med misslyckade ssh-inloggningar.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Datorer med misslyckade Su-inloggningar
Visar en lista över datorer med misslyckade su-inloggningar.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Datorer med misslyckade Sudo-inloggningar
Visar datorer med misslyckade sudo-inloggningar.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer