Consultas para a tabela Syslog
Localizar eventos de kernel do Linux
Localize eventos comunicados pelo processo de kernel do Linux relativamente a processos eliminados.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Todos os Syslog
Últimos 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Todo o Syslog com erros
Últimos 100 Syslog com erros.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Todo o Syslog por instalação
Todos os Syslog por instalações.
Syslog
| summarize count() by Facility
Todos os Syslog por nome do processo
Todo o Syslog por nome do processo.
Syslog
| summarize count() by ProcessName
Utilizadores Adicionados ao Grupo Linux por Computador
Listas computadores com utilizadores adicionados ao grupo Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Novo Grupo Linux Criado por Computador
Listas computadores com o novo grupo Linux criado.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Falha na Alteração da Palavra-passe de Utilizador do Linux
Listas computadores falharam a alteração da palavra-passe de utilizador do Linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Computadores com Inícios de Ssh Com Falhas
Listas computadores com inícios de ssh com falhas.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Computadores com Inícios de Su Com Falhas
Listas computadores com inícios de su falhados.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Computadores com Inícios de Sudo Com Falhas
Listas computadores com inícios de sudo com falhas.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários