Elastic Agent-anslutningsprogram (fristående) för Microsoft Sentinel

  • Artikel

Dataanslutningsappen elastic agent ger möjlighet att mata in elastic agent-loggar, mått och säkerhetsdata i Microsoft Sentinel.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller ElasticAgentLogs_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta enheterna

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Förutsättningar

Om du vill integrera med Elastic Agent (fristående) kontrollerar du att du har:

  • Inkludera anpassade förutsättningar om anslutningen kräver – annars tar du bort tullen: Beskrivning för alla anpassade förutsättningar

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat ElasticAgentEvent som distribueras med Microsoft Sentinel-lösningen.

Kommentar

Den här dataanslutningen har utvecklats med elastic agent 7.14.

  1. Installera och registrera agenten för Linux eller Windows

Installera agenten på servern där elastic agent-loggarna vidarebefordras.

Loggar från elastiska agenter som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.

  1. Konfigurera elastisk agent (fristående)

Följ anvisningarna för att konfigurera Elastic Agent för utdata till Logstash

  1. Konfigurera Logstash för att använda Microsoft Logstash-utdata-plugin-programmet

Följ stegen för att konfigurera Logstash att använda plugin-programmet microsoft-logstash-output-azure-loganalytics:

3.1) Kontrollera om plugin-programmet redan är installerat:

./logstash-plugin-lista | grep "azure-loganalytics" (om plugin-programmet är installerat går du till steg 3.3)

3.2) Installera plugin-programmet:

./logstash-plugin installera microsoft-logstash-output-azure-loganalytics

3.3) Konfigurera Logstash att använda plugin-programmet

  1. Verifiera logginmatning

Följ anvisningarna för att verifiera anslutningen:

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av den anpassade tabell som anges i steg 3.3 (t.ex. ElasticAgentLogs_CL).

Det kan ta cirka 30 minuter innan anslutningen strömmar data till din arbetsyta.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.