Microsoft Sysmon För Linux-anslutningsprogram för Microsoft Sentinel
Sysmon för Linux innehåller detaljerad information om processskapanden, nätverksanslutningar och andra systemhändelser. [Sysmon för linux link:]. Sysmon för Linux-anslutningsappen använder Syslog som datainmatningsmetod. Den här lösningen är beroende av att ASIM fungerar som förväntat. Distribuera ASIM för att hämta det fullständiga värdet från lösningen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog (Sysmon) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 viktigaste händelserna av ActingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Installationsanvisningar för leverantör
Den här dataanslutningsappen är beroende av ASIM-parsare baserat på en Kusto Functions för att fungera som förväntat. Distribuera parsarna
Följande funktioner distribueras:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Installera och registrera agenten för Linux
Normalt bör du installera agenten på en annan dator än den där loggarna genereras.
Syslog-loggar samlas endast in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.
- Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
- Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.
- Klicka på Spara.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.