你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 NXLog FIM 连接器
NXLog FIM 模块允许扫描文件和目录,报告在连续扫描期间在指定路径上通过算出的校验和检测到的添加、更改、重命名和删除。 此 REST API 连接器可以有效地将所配置的 FIM 事件实时导出到 Microsoft Sentinel。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | NXLogFIM_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | NXLog |
查询示例
查找所有 DELETE 事件
NXLogFIM_CL
| where EventType_s == 'DELETE'
| project-away
SourceSystem,
Type
| sort by EventTime_t
每个主机每个类型的事件数条形图
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| where strlen(EventType_s) > 1
| project Eventype = Hostname_s, EventType_s, EventCount
| order by EventCount desc
| render barchart
每个主机的事件数的可视化效果饼图
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| sort by EventCount
| render piechart
每个主机的事件数常规摘要
NXLogFIM_CL
| summarize count() by Hostname_s, EventType_s
供应商安装说明
按照 NXLog 用户指南的 Microsoft Sentinel 集成一章中的分步说明来配置此连接器。