[Не рекомендуется] Соединитель инфраструктуры на основе приложений Cisco для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель данных Cisco Application Centric Infrastructure (ACI) предоставляет возможность приема журналов Cisco ACI в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (CiscoACIEvent) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Top 10 Resources (DstResourceId)
CiscoACIEvent
| where notempty(DstResourceId)
| summarize count() by DstResourceId
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью Cisco ACI выпуска 1.x
- Настройте систему Cisco ACI, отправляя журналы с помощью Syslog на удаленный сервер, где будет установлен агент.
Выполните следующие действия , чтобы настроить назначение syslog, группу назначения и источник системного журнала.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на который будут пересылаться журналы.
Журналы на серверах Linux или Windows собираются агентами Linux или Windows .
- Проверка журналов в Microsoft Sentinel
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы Syslog.
ПРИМЕЧАНИЕ. До появления новых журналов в таблице Syslog может потребоваться до 15 минут.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.