Konektor auditu NXLog AIX pro Microsoft Sentinel
Datový konektor auditování NXLog AIX používá subsystém auditování AIX ke čtení událostí přímo z jádra za účelem zachycení událostí auditu na platformě AIX. Tento konektor REST API dokáže efektivně exportovat události auditu AIX do Služby Microsoft Sentinel v reálném čase.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | AIX_Audit_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | NXLog |
Ukázky dotazů
Distribuce typu události auditování AIX
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
Nejvyšší počet událostí za sekundu (EPS) – Typy událostí auditu AIX
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
Časový graf událostí auditu AIX za den
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
Časový graf událostí auditu AIX za hodinu
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
Časový graf auditování AIX za sekundu (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání NXLog_parsed_AIX_Audit_view , která se nasadí s řešením Microsoft Sentinel.
Podle podrobných pokynů v průvodci integrací uživatelského průvodce NXLog microsoft Sentinel nakonfigurujte tento konektor.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.