对 AVSSyslog 表的查询

2025-04-21

有关在 Azure 门户中使用这些查询的信息，请参阅 Log Analytics 教程。有关 REST API，请参阅查询。

获取 DNS 失败

获取 100 个 AVS 失败 DNS 查询日志。如果正收到 DNS 查询失败，请检查 DNS 配置。

AVSSyslog
| where AppName == "dnsmasq" // do some initial filtering to optimize 'has'
| where Message has "Failed DNS Query" // filter to only Failed DNS Query messages
| take 100

获取分布式防火墙日志

获取 100 个 AVS 分布式防火墙日志。

AVSSyslog
| where AppName == "FIREWALL" or ProcId == "FIREWALL"
| take 100

获取虚拟机已创建的审核事件

获取虚拟机已创建事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "vmcreatedevent" 
| take 100

获取虚拟机已删除的审核事件

获取虚拟机已删除事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "vmremovedevent"
| take 100

获取虚拟机已开机的审核事件

获取虚拟机已开机事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "VmPowerStateChangedEvent" and Message has "poweredon"
| take 100

获取虚拟机已断开连接的审核事件

获取虚拟机已断开连接事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "vmdisconnectedevent"
| take 100

获取虚拟机已重新启动的审核事件

获取虚拟机已重新启动事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "VmGuestRebootEvent"
| take 100

获取虚拟机已迁移的审核事件

获取 100 个与 VM 迁移相关的 AVS 审计事件。

AVSSyslog
| where Message has "vmmigratedevent"
| take 100

获取主机已添加的审核事件

获取主机已添加事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "hostaddedevent"
| take 100

获取主机已关机的审核事件

获取主机已关机事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "hostshutdownevent"
| take 100

获取主机进入维护模式的审核事件

获取主机进入维护模式事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "The host has entered maintenance mode"
| take 100

获取主机退出维护模式的审核事件

获取主机退出维护模式事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "The host has exited maintenance mode"
| take 100

获取主机已连接的审核事件

获取主机已连接事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "hostconnectedevent"
| take 100

获取主机连接已断开的审核事件

获取主机连接已断开事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "lost connection to the host"
| take 100

获取群集的审核事件

获取群集事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "cluster" and Message has "event"
| take 100

获取 NSX 的审核事件计数

获取 NSX 的 AVS 审核事件计数。

AVSSyslog
| where Message has "nsx" and Message has "event"
| count

获取 vCenter 的审核事件计数

获取 vCenter 事件的 AVS 审核事件计数。

AVSSyslog
| where Message has "vcenter" and Message has "event"
| count

获取角色已添加的审核事件

获取角色已添加事件的 100 个 AVS 审核事件。

AVSSyslog
| where Message has "RoleAddedEvent"
| take 100

获取严重性为“信息”的 AVS 事件

获取严重级别为“信息”的 100 个 AVS 事件。将其替换为其他严重级别（注意、调试、警告、错误）以获取类似结果。

AVSSyslog
| where severity == "info"
| take 100

通过