Requêtes pour la table Syslog
Rechercher des événements de noyau Linux
Rechercher les événements signalés par le processus du noyau Linux, concernant les processus tués.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Tout Syslog
Dernier 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Tous Syslog avec des erreurs
Dernier 100 Syslog avec erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Tous syslog par installation
Tous Syslog par installation.
Syslog
| summarize count() by Facility
Tous Syslog par nom de processus
Tous Syslog par nom de processus.
Syslog
| summarize count() by ProcessName
Utilisateurs ajoutés au groupe Linux par ordinateur
Listes ordinateurs avec des utilisateurs ajoutés au groupe Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Nouveau groupe Linux créé par ordinateur
Listes ordinateurs avec un nouveau groupe Linux créé.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Échec de la modification du mot de passe utilisateur Linux
Listes ordinateurs wih a échoué à modifier le mot de passe de l’utilisateur Linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Ordinateurs avec des ouvertures de session Ssh ayant échoué
Listes ordinateurs dont les connexions ssh ont échoué.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Ordinateurs avec échec des ouvertures de session Su
Listes ordinateurs dont les connexions su ont échoué.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Ordinateurs avec échec des ouvertures de session Sudo
Listes ordinateurs dont les ouvertures de session sudo ont échoué.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour