Consultas para a tabela Syslog

  • Artigo

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Encontrar eventos do kernel Linux

Encontre eventos relatados pelo processo do kernel Linux, em relação a processos mortos.

// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"

Todos os Syslog

Últimos 100 Syslog.

Syslog 
| top 100 by TimeGenerated desc

Todos os Syslog com erros

Últimos 100 Syslog com erros.

Syslog 
| where SeverityLevel == "err" or  SeverityLevel == "error"
| top 100 by TimeGenerated desc

Todos os Syslog por instalação

Todos os Syslog por instalação.

Syslog 
| summarize count() by Facility

Todos os Syslog por nome do processo

Todos os Syslog por nome de processo.

Syslog 
| summarize count() by ProcessName

Usuários adicionados ao grupo Linux por computador

Lista computadores com usuários adicionados ao grupo Linux.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer

Novo grupo Linux criado por computador

Lista computadores com novo grupo Linux criado.

Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer

Falha na alteração da senha do usuário do Linux

Lista computadores com falha na alteração da senha do usuário do Linux.

Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer

Computadores com logon ssh com falha

Lista computadores com logons ssh com falha.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer

Computadores com falha Su Logons

Lista computadores com logon su com falha.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer

Computadores com logon sudo com falha

Lista computadores com logon sudo com falha.

Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer