Consultas para la tabla CommonSecurityLog

  • Artículo

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Uso de la máquina del recopilador de Palo Alto

Esta consulta muestra una lista descendente de todos los nombres de host de todas las máquinas recopiladora según la cantidad de eventos que reciben de un dispositivo Palo Alto.

CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc

Uso del tipo de eventos de Cisco ASA

Esta consulta muestra una lista descendente de la cantidad de eventos ingeridos para cada DeviceEventClassID.

CommonSecurityLog 
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc

Estadísticas de volumen de eventos de dispositivo

Dispositivos que envían la mayoría de los eventos.

CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
  top-nested 5 of DeviceProduct by Product=count(),
  top-nested 5 of DeviceVersion by Version=count()