Microsoft Sentinel 用 NXLog AIX Audit コネクタ
NXLog AIX Audit データ コネクタは、AIX プラットフォーム上の監査イベントをキャプチャするために、AIX Audit サブシステムを使用してカーネルからイベントを直接読み取ります。 この REST API コネクタを使用すると、AIX Audit イベントをリアルタイムで効率的に Microsoft Sentinel にエクスポートできます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | AIX_Audit_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | NXLog |
クエリのサンプル
AIX Audit イベントの種類の分布
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
1 秒あたりの AIX Audit イベントの種類の最大イベント数 (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
1 日あたりの AIX Audit イベントの時間グラフ
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
1 時間あたりの AIX Audit イベントの時間グラフ
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
1 秒あたりの AIX Audit イベント (EPS) の時間グラフ
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている NXLog_parsed_AIX_Audit_view) を利用して期待どおりに動作します。
このコネクタを構成するには、「NXLog ユーザー ガイド」の統合に関するガイド「Microsoft Sentinel」にある詳細な手順に従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。