NXLog LinuxAudit-Connector für Microsoft Sentinel
Der NXLog LinuxAudit-Datenconnector unterstützt benutzerdefinierte Überwachungsregeln und erfasst Protokolle ohne „auditd“ oder andere Softwarekomponenten im Benutzerbereich. IP-Adressen und Gruppen/Benutzer-IDs werden in die jeweiligen Namen aufgelöst, sodass die Protokolle derLinux-Überwachung für Sicherheitsanalysten besser lesbar sind. Dieser REST-API-Connector kann Linux-Sicherheitsereignisse effizient in Echtzeit in Microsoft Sentinel exportieren.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | LinuxAudit_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | NXLog |
Abfragebeispiele
Häufigster Typ
LinuxAudit_CL
| summarize EventCount = count() by type_s
| where strlen(type_s) > 1
| render barchart
Häufigste Kommunikation
LinuxAudit_CL
| summarize EventCount = count() by comm_s
| where strlen(comm_s) > 1
| render barchart
Häufigster Name
LinuxAudit_CL
| summarize EventCount = count() by name_s
| where strlen(name_s) > 1
| render barchart
Installationsanweisungen des Anbieters
Befolgen Sie die Schrittanleitungen im NXLog-Benutzerhandbuch im Thema zur Integration von Microsoft Sentinel, um diesen Connector zu konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.