NXLog AIX-granskningsanslutningsprogram för Microsoft Sentinel
NXLog AIX-granskningsdataanslutningsappen använder undersystemet AIX-granskning för att läsa händelser direkt från kerneln för att samla in granskningshändelser på AIX-plattformen. Den här REST API-anslutningsappen kan effektivt exportera AIX-granskningshändelser till Microsoft Sentinel i realtid.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | AIX_Audit_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | NXLog |
Exempel på frågor
Distribution av AIX-granskningshändelsetyp
NXLog_parsed_AIX_Audit_view
| summarize count() by EventType
| render piechart title="AIX Audit event type distributon"
Högsta händelse per sekund (EPS) AIX-granskningshändelsetyper
NXLog_parsed_AIX_Audit_view
| where EventEndTime > todatetime('2021-09-09')
| summarize EPS=count() by bin(EventEndTime, 1s), EventType
| sort by EPS, EventType, EventEndTime
| take 5
| render columnchart title="Highest event per second (EPS) event types"
Tidsdiagram över AIX-granskningshändelser per dag
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-06')
| where EventEndTime < todatetime('2021-09-10')
| summarize Count=count() by bin(EventEndTime, 1d)
| render timechart title="AIX Audit events per day"
Tidsdiagram över AIX-granskningshändelser per timme
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07')
| where EventEndTime < todatetime('2021-09-08')
| summarize Count=count() by bin(EventEndTime, 1h)
| render timechart title="AIX Audit events per hour"
Tidsdiagram för AIX-granskningshändelser per sekund (EPS)
NXLog_parsed_AIX_Audit_view
| where EventEndTime >= todatetime('2021-09-07 18:29')
| where EventEndTime < todatetime('2021-09-07 23:55')
| summarize EPS=count() by bin(EventEndTime, 1s)
| render timechart title="AIX Audit events per second (EPS)"
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat NXLog_parsed_AIX_Audit_view som distribueras med Microsoft Sentinel-lösningen.
Följ de stegvisa anvisningarna i NXLog-användarhandbokensintegreringsguide Microsoft Sentinel för att konfigurera den här anslutningsappen.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.