Dela via

NXLog AIX-granskningsanslutningsprogram för Microsoft Sentinel

  • Artikel

NXLog AIX-granskningsdataanslutningsappen använder undersystemet AIX-granskning för att läsa händelser direkt från kerneln för att samla in granskningshändelser på AIX-plattformen. Den här REST API-anslutningsappen kan effektivt exportera AIX-granskningshändelser till Microsoft Sentinel i realtid.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller AIX_Audit_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av NXLog

Exempel på frågor

Distribution av AIX-granskningshändelsetyp

NXLog_parsed_AIX_Audit_view

| summarize count() by EventType

| render piechart title="AIX Audit event type distribution"

Högsta händelse per sekund (EPS) AIX-granskningshändelsetyper

NXLog_parsed_AIX_Audit_view

| where EventEndTime >  todatetime('2021-09-09')

| summarize EPS=count() by bin(EventEndTime, 1s), EventType

| sort by EPS, EventType, EventEndTime

| take 5

| render columnchart title="Highest event per second (EPS) event types"

Tidsdiagram över AIX-granskningshändelser per dag

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-06')

| where EventEndTime <  todatetime('2021-09-10')

| summarize Count=count() by bin(EventEndTime, 1d)

| render timechart title="AIX Audit events per day"

Tidsdiagram över AIX-granskningshändelser per timme

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07')

| where EventEndTime <  todatetime('2021-09-08')

| summarize Count=count() by bin(EventEndTime, 1h)

| render timechart title="AIX Audit events per hour"

Tidsdiagram för AIX-granskningshändelser per sekund (EPS)

NXLog_parsed_AIX_Audit_view

| where EventEndTime >= todatetime('2021-09-07 18:29')

| where EventEndTime <  todatetime('2021-09-07 23:55')

| summarize EPS=count() by bin(EventEndTime, 1s)

| render timechart title="AIX Audit events per second (EPS)"

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat NXLog_parsed_AIX_Audit_view som distribueras med Microsoft Sentinel-lösningen.

Följ de stegvisa anvisningarna i NXLog-användarhandbokens integreringsguide Microsoft Sentinel för att konfigurera den här anslutningsappen.