Conector AIX Audit de NXLog para Microsoft Sentinel

  • Artículo

El conector de datos AIX Audit de NXLog usa el subsistema AIX Audit para leer eventos directamente desde el kernel con el fin de capturar eventos de auditoría en la plataforma AIX. Este conector de API REST puede exportar eficazmente eventos de AIX Audit a Microsoft Sentinel en tiempo real.

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics AIX_Audit_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con NXLog

Ejemplos de consultas

Distribución del tipo de evento AIX Audit

NXLog_parsed_AIX_Audit_view

| summarize count() by EventType

| render piechart title="AIX Audit event type distributon"

Tipos de evento más alto por segundo (EPS) de AIX Audit

NXLog_parsed_AIX_Audit_view

| where EventEndTime >  todatetime('2021-09-09')

| summarize EPS=count() by bin(EventEndTime, 1s), EventType

| sort by EPS, EventType, EventEndTime

| take 5

| render columnchart title="Highest event per second (EPS) event types"

Gráfico de tiempo de eventos por día de AIX Audit

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-06')

| where EventEndTime <  todatetime('2021-09-10')

| summarize Count=count() by bin(EventEndTime, 1d)

| render timechart title="AIX Audit events per day"

Gráfico de tiempo de eventos por hora de AIX Audit

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07')

| where EventEndTime <  todatetime('2021-09-08')

| summarize Count=count() by bin(EventEndTime, 1h)

| render timechart title="AIX Audit events per hour"

Gráfico de tiempo de eventos por segundo (EPS) de AIX Audit

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07 18:29')

| where EventEndTime <  todatetime('2021-09-07 23:55')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title="AIX Audit events per second (EPS)"

Instrucciones de instalación del proveedor

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en NXLog_parsed_AIX_Audit_view, que se implementa con la solución de Microsoft Sentinel.

Siga las instrucciones paso a paso del tema de integración *NXLog User Guide* (Guía de usuario de NXLog) Microsoft Sentinel para configurar este conector.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.