Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
Búsqueda de eventos de kernel de Linux
Busque eventos informados por el proceso del kernel de Linux relacionados con los procesos eliminados.
// To create an alert for this query, click '+ New alert rule'
Syslog
| where ProcessName == "kernel" and SyslogMessage contains "Killed process"
Todos los Syslog
Últimos 100 Syslog.
Syslog
| top 100 by TimeGenerated desc
Todo Syslog con errores
Últimos 100 Syslog con errores.
Syslog
| where SeverityLevel == "err" or SeverityLevel == "error"
| top 100 by TimeGenerated desc
Todos los Syslog por instalación
Todos los Syslog por instalación.
Syslog
| summarize count() by Facility
Todo Syslog por nombre de proceso
Todos los Syslog por nombre de proceso.
Syslog
| summarize count() by ProcessName
Usuarios agregados al grupo de Linux por equipo
Enumera los equipos con usuarios agregados al grupo de Linux.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'to group' and (SyslogMessage has 'add' or SyslogMessage has 'added')
| summarize by Computer
Nuevo grupo de Linux creado por ordenador
Enumera los equipos con el nuevo grupo de Linux creado.
Syslog
| where Facility == 'authpriv' and SyslogMessage has 'new group'
| summarize count() by Computer
Error al cambiar la contraseña de usuario de Linux
Enumera los equipos con errores de cambio de contraseña de usuario de Linux.
Syslog
| where Facility == 'authpriv' and ((SyslogMessage has 'passwd:chauthtok' and SyslogMessage has 'authentication failure') or SyslogMessage has 'password change failed')
| summarize count() by Computer
Equipos con inicios de sesión de SSH con error
Enumera los equipos con inicios de sesión de SSH con error.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sshd:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and ((SyslogMessage has 'Failed' and SyslogMessage has 'invalid user' and SyslogMessage has 'ssh2') or SyslogMessage has 'error: PAM: Authentication failure'))
| summarize count() by Computer
Equipos con inicios de sesión de SU con error
Enumera los equipos con inicios de sesión de SU con error.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'su:auth' and SyslogMessage has 'authentication failure') or (Facility == 'auth' and SyslogMessage has 'FAILED SU')
| summarize count() by Computer
Equipos con inicios de sesión de Sudo con error
Enumera los equipos con inicios de sesión de Sudo con error.
Syslog
| where (Facility == 'authpriv' and SyslogMessage has 'sudo:auth' and (SyslogMessage has 'authentication failure' or SyslogMessage has 'conversation failed')) or ((Facility == 'auth' or Facility == 'authpriv') and SyslogMessage has 'user NOT in sudoers')
| summarize count() by Computer