Syslog 테이블에 대한 쿼리
Azure Portal에서 이러한 쿼리를 사용하는 방법에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요. REST API는 쿼리를 참조 하세요.
Linux 커널 이벤트 찾기
종료된 프로세스와 관련하여 Linux 커널 프로세스에서 보고된 이벤트를 찾습니다.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
모든 Syslog
마지막 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
오류가 있는 모든 Syslog
erros를 사용한 마지막 100 Syslog.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
시설별 모든 Syslog
시설별 모든 Syslog.
Syslog
| summarize count() by Facility
프로세스 이름별 모든 Syslog
프로세스 이름별 모든 Syslog입니다.
Syslog
| summarize count() by ProcessName
컴퓨터별 Linux 그룹에 추가된 사용자
Linux 그룹에 사용자가 추가된 컴퓨터를 나열합니다.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
컴퓨터에서 만든 새 Linux 그룹
새 Linux 그룹이 생성된 컴퓨터를 나열합니다.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Linux 사용자 암호 변경 실패
Linux 사용자 암호 변경에 실패한 컴퓨터를 나열합니다.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
실패한 Ssh 로그온이 있는 컴퓨터
실패한 ssh 로그온이 있는 컴퓨터를 나열합니다.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
실패한 Su 로그온이 있는 컴퓨터
실패한 su 로그온이 있는 컴퓨터를 나열합니다.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
실패한 Sudo 로그온이 있는 컴퓨터
실패한 sudo 로그온이 있는 컴퓨터를 나열합니다.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer