موصل Microsoft Sysmon for Linux ل Microsoft Sentinel
يوفر Sysmon لنظام Linux معلومات مفصلة حول عمليات إنشاء العمليات واتصالات الشبكة وأحداث النظام الأخرى. [Sysmon for linux link:]. يستخدم Sysmon لموصل Linux Syslog كطريقة لاستيعاب البيانات الخاصة به. يعتمد هذا الحل على ASIM للعمل كما هو متوقع. انشر ASIM للحصول على القيمة الكاملة من الحل.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | Syslog (Sysmon) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
أفضل 10 أحداث بواسطة ActingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
إرشادات تثبيت المورد
يعتمد موصل البيانات هذا على محللات ASIM استنادا إلى وظائف Kusto للعمل كما هو متوقع. توزيع المحللات
سيتم نشر الوظائف التالية:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- تثبيت وإلحاق العامل لنظام Linux
عادة، يجب تثبيت العامل على كمبيوتر مختلف عن الكمبيوتر الذي يتم إنشاء السجلات عليه.
يتم جمع سجلات Syslog فقط من وكلاء Linux .
- تكوين السجلات ليتم جمعها
تكوين المرافق التي تريد جمعها وشدتها.
- ضمن workspace advanced settings Configuration، حدد Data ثم Syslog.
- حدد تطبيق التكوين أدناه على أجهزتي وحدد المرافق والخطورة.
- انقر فوق حفظ.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.