Connector „Cisco Application Centric Infrastructure“ für Microsoft Sentinel
Mit dem Datenconnector Cisco Application Centric Infrastructure (ACI) können Cisco ACI-Protokolle in Microsoft Sentinel erfasst werden.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (CiscoACIEvent) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Ressourcen (DstResourceId)
CiscoACIEvent
| where notempty(DstResourceId)
| summarize count() by DstResourceId
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: CiscoACIEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
Hinweis
Dieser Datenconnector wurde mit dem Cisco ACI-Release 1.x entwickelt.
- Konfigurieren Sie das Cisco ACI-System, das Protokolle über Syslog an einen Remoteserver sendet, auf dem Sie den Agent installieren.
Gehen Sie wie hier beschrieben vor, um das Syslog-Ziel, die Zielgruppe und die Syslog-Quelle zu konfigurieren.
- Agent für Linux oder Windows installieren und integrieren
Installieren Sie den Agent auf dem Server, an den die Protokolle weitergeleitet werden.
Protokolle auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
- Überprüfen von Protokollen in Microsoft Sentinel
Öffnen Sie Log Analytics, um mithilfe des Syslog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
HINWEIS: Es kann bis zu 15 Minuten dauern, bis neue Protokolle in der Syslog-Tabelle angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.