Konektor elastického agenta (samostatný) pro Microsoft Sentinel

  • Článek

Datový konektor elastického agenta poskytuje možnost ingestovat protokoly elastického agenta, metriky a data zabezpečení do Služby Microsoft Sentinel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics ElasticAgentLogs_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 zařízení

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Požadavky

Pokud chcete provést integraci s elastickým agentem (samostatným), ujistěte se, že máte:

  • Pokud připojení vyžaduje, zahrňte vlastní požadavky – jinak odstraňte celní předpisy: Popis pro všechny vlastní požadavky

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání ElasticAgentEvent nasazené s řešením Microsoft Sentinel.

Poznámka:

Tento datový konektor byl vyvinut pomocí elastického agenta 7.14.

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server, kde se předávají protokoly elastického agenta.

Protokoly z elastických agentů nasazených na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Konfigurace elastického agenta (samostatně)

Postupujte podle pokynů ke konfiguraci elastického agenta pro výstup do Logstash.

  1. Konfigurace logstash pro použití výstupního modulu plug-in Microsoft Logstash

Podle pokynů nakonfigurujte Logstash tak, aby používal modul plug-in Microsoft-logstash-output-azure-loganalytics:

3.1) Zkontrolujte, jestli je modul plug-in již nainstalovaný:

./logstash-plugin list | grep azure-loganalytics (pokud je modul plug-in nainstalovaný, přejděte ke kroku 3.3).

3.2) Instalace modulu plug-in:

./logstash-plugin nainstalujte microsoft-logstash-output-azure-loganalytics

3.3) Konfigurace Logstash pro použití modulu plug-in

  1. Ověření příjmu protokolů

Podle pokynů ověřte připojení:

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí vlastní tabulky zadané v kroku 3.3 (např. ElasticAgentLogs_CL).

Může to trvat přibližně 30 minut, než připojení streamuje data do vašeho pracovního prostoru.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.