Łącznik systemu Microsoft Sysmon dla systemu Linux dla usługi Microsoft Sentinel
System Sysmon dla systemu Linux zawiera szczegółowe informacje o tworzeniu procesów, połączeniach sieciowych i innych zdarzeniach systemowych. [Sysmon for linux link:]. Łącznik Sysmon dla systemu Linux używa usługi Syslog jako metody pozyskiwania danych. To rozwiązanie zależy od karty ASIM do działania zgodnie z oczekiwaniami. Wdróż kartę ASIM , aby uzyskać pełną wartość z rozwiązania.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | Syslog (Sysmon) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najważniejszych zdarzeń według actingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Instrukcje instalacji dostawcy
Ten łącznik danych zależy od analizatorów ASIM opartych na funkcji Kusto, które działają zgodnie z oczekiwaniami. Wdrażanie analizatorów
Zostaną wdrożone następujące funkcje:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.
- W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
- Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.
- Kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.