Microsoft Sentinel용 Elastic Agent(독립형) 커넥터
Elastic Agent 데이터 커넥터는 Elastic Agent 로그, 메트릭 및 보안 데이터를 Microsoft Sentinel로 수집하는 기능을 제공합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | ElasticAgentLogs_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
상위 10개 디바이스
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
필수 조건
Elastic Agent(독립형)와 통합하려면 다음 사항을 확인합니다.
- 연결에 필요한 경우 사용자 지정 전제조건 포함 - 그렇지 않으면 사용자 지정 삭제: 사용자 지정 전제조건에 대한 설명
공급업체 설치 지침
참고 항목
이 데이터 커넥터는 Microsoft Sentinel 솔루션과 함께 배포되는 ElasticAgentEvent가 예상대로 작동하도록 Kusto 함수 기반 파서에 의존합니다.
참고 항목
이 데이터 커넥터는 Elastic Agent 7.14를 사용하여 개발되었습니다.
- Linux 또는 Windows용 에이전트 설치 및 온보딩
Elastic Agent 로그가 전달되는 서버에 에이전트를 설치합니다.
Linux 또는 Windows 서버에 배포된 Elastic 에이전트의 로그는 Linux 또는 Windows 에이전트에 의해 수집됩니다.
- Elastic Agent 구성(독립형)
Logstash로 출력하도록 Elastic Agent를 구성하려면 지침을 따릅니다.
- Microsoft Logstash 출력 플러그 인을 사용하도록 Logstash 구성
microsoft-logstash-output-azure-loganalytics 플러그 인을 사용하도록 Logstash를 구성하려면 다음 단계를 따릅니다.
3.1) 플러그 인이 이미 설치되어 있는지 확인합니다.
./logstash-plugin list | grep 'azure-loganalytics' (플러그 인이 설치된 경우 3.3단계로 이동)
3.2) 플러그 인 설치:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) 플러그 인을 사용하도록 Logstash 구성
- 로그 수집 유효성 검사
지침에 따라 연결의 유효성을 검사합니다.
Log Analytics를 열어 3.3단계에서 지정한 사용자 지정 테이블(예: ElasticAgentLogs_CL)을 사용하여 로그가 수신되었는지 확인합니다.
연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 30분 정도 걸릴 수 있습니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.