Соединитель аудита NXLog AIX для Microsoft Sentinel
Соединитель данных аудита NXLog AIX использует подсистему аудита AIX для чтения событий непосредственно из ядра для записи событий аудита на платформе AIX. Этот соединитель REST API может эффективно экспортировать события аудита AIX в Microsoft Sentinel в режиме реального времени.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | AIX_Audit_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | NXLog |
Примеры запросов
Распределение типов событий аудита AIX
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
Самый высокий уровень событий в секунду (EPS) Типы событий аудита AIX
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
Диаграмма времени событий аудита AIX в день
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
Диаграмма времени событий аудита AIX в час
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
Диаграмма времени аудита AIX в секунду (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом NXLog_parsed_AIX_Audit_view , развернутой с помощью решения Microsoft Sentinel.
Выполните пошаговые инструкции в руководстве по интеграции с NXLog для Microsoft Sentinel , чтобы настроить этот соединитель.