Conector NXLog AIX Audit para o Microsoft Sentinel
O conector de dados NXLog AIX Audit usa o subsistema AIX Audit para ler eventos diretamente do kernel a fim de capturar eventos de auditoria na plataforma AIX. Esse conector da API REST pode exportar eventos do AIX Audit ao Microsoft Sentinel com eficiência e em tempo real.
Esse conteúdo foi gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | AIX_Audit_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | NXLog |
Exemplos de consulta
Distribuição de tipo de evento AIX Audit
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
Tipos de evento AIX Audit do EPS (evento mais alto por segundo)
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
Gráfico de tempo de eventos AIX Audit por dia
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
Gráfico de tempo de eventos AIX Audit por hora
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
Gráfico de tempo de eventos AIX Audit por segundo (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, o NXLog_parsed_AIX_Audit_view, que é implantado com a Solução do Microsoft Sentinel.
Siga as instruções passo a passo no Guia de Integração Microsoft Sentinel do Guia do Usuário do NXLog para configurar esse conector.