موصل Elastic Agent (مستقل) ل Microsoft Sentinel
يوفر موصل بيانات Elastic Agent القدرة على استيعاب سجلات ومقاييس وبيانات الأمان ل Elastic Agent في Microsoft Sentinel.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | ElasticAgentLogs_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
أفضل 10 أجهزة
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
المتطلبات الأساسية
للتكامل مع Elastic Agent (مستقل) تأكد من أن لديك:
- قم بتضمين المتطلبات المسبقة المخصصة إذا تطلب الاتصال - وإلا احذف الجمارك: وصف لأي شرط مسبق مخصص
إرشادات تثبيت المورد
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع ElasticAgentEvent الذي يتم نشره مع حل Microsoft Sentinel.
إشعار
تم تطوير موصل البيانات هذا باستخدام Elastic Agent 7.14.
- تثبيت وإلحاق العامل ل Linux أو Windows
قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Elastic Agent.
يتم جمع السجلات من Elastic Agents المنشورة على خوادم Linux أو Windows بواسطة وكلاء Linux أو Windows .
- تكوين عامل مرن (مستقل)
اتبع الإرشادات لتكوين Elastic Agent للإخراج إلى Logstash
- تكوين Logstash لاستخدام المكون الإضافي لإخراج Microsoft Logstash
اتبع الخطوات لتكوين Logstash لاستخدام المكون الإضافي microsoft-logstash-output-azure-loganalytics:
3.1) تحقق مما إذا كان المكون الإضافي مثبتا بالفعل:
./logstash-plugin list | grep 'azure-loganalytics' (إذا تم تثبيت المكون الإضافي، فانتقل إلى الخطوة 3.3)
3.2) تثبيت المكون الإضافي:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) تكوين Logstash لاستخدام المكون الإضافي
- التحقق من صحة استيعاب السجل
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام جدول مخصص محدد في الخطوة 3.3 (على سبيل المثال، ElasticAgentLogs_CL).
قد يستغرق الأمر حوالي 30 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.