Connecteur NXLog AIX Audit pour Microsoft Sentinel

  • Article

Le connecteur de données Audit NXLog AIX utilise le sous-système d’audit AIX pour lire des événements directement à partir du noyau afin de capturer des événements d’audit sur la plateforme AIX. Ce connecteur d’API REST peut exporter efficacement des événements AIX Audit vers Microsoft Sentinel en temps réel.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics AIX_Audit_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par NXLog

Exemples de requête

Distribution du type d’événement AIX Audit

NXLog_parsed_AIX_Audit_view

| summarize count() by EventType

| render piechart title="AIX Audit event type distributon"

Types d’événements AIX Audit les plus élevés par seconde (EPS)

NXLog_parsed_AIX_Audit_view

| where EventEndTime >  todatetime('2021-09-09')

| summarize EPS=count() by bin(EventEndTime, 1s), EventType

| sort by EPS, EventType, EventEndTime

| take 5

| render columnchart title="Highest event per second (EPS) event types"

Graphique horaire des événements AIX Audit par jour

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-06')

| where EventEndTime <  todatetime('2021-09-10')

| summarize Count=count() by bin(EventEndTime, 1d)

| render timechart title="AIX Audit events per day"

Graphique horaire des événements AIX Audit par heure

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07')

| where EventEndTime <  todatetime('2021-09-08')

| summarize Count=count() by bin(EventEndTime, 1h)

| render timechart title="AIX Audit events per hour"

Graphique de temps des événements AIX Audit par seconde (EPS)

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07 18:29')

| where EventEndTime <  todatetime('2021-09-07 23:55')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title="AIX Audit events per second (EPS)"

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu NXLog_parsed_AIX_Audit_view qui est déployé avec la solution Microsoft Sentinel.

Suivez les instructions pas à pas du Guide de l’utilisateur NXLog, Guide d’intégration, Microsoft Sentinel pour configurer ce connecteur.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.