NXLog AIX Audit-Connector für Microsoft Sentinel
Der NXLog AIX Audit-Datenconnector verwendet das Subsystem AIX Audit, um Ereignisse direkt aus dem Kernel zu lesen und Überwachungsereignisse auf der AIX-Plattform zu erfassen. Dieser REST-API-Connector kann AIX Audit-Ereignisse in Echtzeit effizient in Microsoft Sentinel exportieren.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | AIX_Audit_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | NXLog |
Abfragebeispiele
Verteilung des AIX Audit-Ereignistyps
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
Höchstes Ereignis pro Sekunde (EPS) AIX Audit-Ereignistypen
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
Zeitdiagramm der AIX-Überwachungsereignisse pro Tag
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
Zeitdiagramm der AIX Audit-Ereignisse pro Stunde
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
Zeitdiagramm für AIX Audit-Ereignisse pro Sekunde (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector hängt von einem Parser ab, der auf einer Kusto-Funktion basiert, damit er wie die erwartete NXLog_parsed_AIX_Audit_view funktioniert. Diese Funktion wird mit der Microsoft Sentinel-Lösung bereitgestellt.
Befolgen Sie die Schrittanleitungen im NXLog-Benutzerhandbuch in der Anleitung zur Integration von Microsoft Sentinel, um diesen Connector zu konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.