Sdílet prostřednictvím

Konektor auditu NXLog AIX pro Microsoft Sentinel

  • Článek

Datový konektor auditování NXLog AIX používá subsystém auditování AIX ke čtení událostí přímo z jádra za účelem zachycení událostí auditu na platformě AIX. Tento konektor REST API dokáže efektivně exportovat události auditu AIX do Služby Microsoft Sentinel v reálném čase.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics AIX_Audit_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno NXLog

Ukázky dotazů

Distribuce typu události auditování AIX

NXLog_parsed_AIX_Audit_view

| summarize count() by EventType

| render piechart title="AIX Audit event type distribution"

Nejvyšší počet událostí za sekundu (EPS) – Typy událostí auditu AIX

NXLog_parsed_AIX_Audit_view

| where EventEndTime >  todatetime('2021-09-09')

| summarize EPS=count() by bin(EventEndTime, 1s), EventType

| sort by EPS, EventType, EventEndTime

| take 5

| render columnchart title="Highest event per second (EPS) event types"

Časový graf událostí auditu AIX za den

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-06')

| where EventEndTime <  todatetime('2021-09-10')

| summarize Count=count() by bin(EventEndTime, 1d)

| render timechart title="AIX Audit events per day"

Časový graf událostí auditu AIX za hodinu

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07')

| where EventEndTime <  todatetime('2021-09-08')

| summarize Count=count() by bin(EventEndTime, 1h)

| render timechart title="AIX Audit events per hour"

Časový graf auditování AIX za sekundu (EPS)

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07 18:29')

| where EventEndTime <  todatetime('2021-09-07 23:55')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title="AIX Audit events per second (EPS)"

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání NXLog_parsed_AIX_Audit_view , která se nasadí s řešením Microsoft Sentinel.

Podle podrobných pokynů v průvodci integrací uživatelského průvodce NXLog microsoft Sentinel nakonfigurujte tento konektor.