Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".
Verwendung von Collectorcomputern in Palo Alto
Diese Abfrage zeigt eine absteigende Liste aller Hostnamen von Collectorcomputern entsprechend der Anzahl der Ereignisse an, die sie von einem Palo-Alto-Gerät empfangen.
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Quering only on incoming events from a Palo Alto appliance
| where DeviceProduct has 'PAN-OS'
| where DeviceVendor =~ 'Palo Alto Networks'
// Find the the collector machine with the highest usage
| summarize Count=count() by Computer
// Sort in a descending order- Most used Collector hostname comes first
| sort by Count desc
Verwendung von Cisco ASA-Ereignistypen
Diese Abfrage zeigt eine absteigende Liste der Ereignisse an, die für jede DeviceEventClassID aufgenommen wurden.
CommonSecurityLog
// Quering on the past 7 days
| where TimeGenerated > ago(7d)
// Only filter on Cisco ASA events
| where DeviceVendor == "Cisco" and DeviceProduct == "ASA"
// group events by their DeviceEventClassID value, which represents the Cisco message id
| summarize count_events=count() by DeviceEventClassID
// Sort in a descending order- most used DeviceEventClassID comes first
| sort by count_events desc
Volumenstatistik der Geräteereignisse
Geräte, die die meisten Ereignisse senden.
CommonSecurityLog
| top-nested 15 of DeviceVendor by Vendor=count(),
top-nested 5 of DeviceProduct by Product=count(),
top-nested 5 of DeviceVersion by Version=count()