你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 NXLog FIM 连接器

NXLog FIM 模块允许扫描文件和目录,报告在连续扫描期间在指定路径上通过算出的校验和检测到的添加、更改、重命名和删除。 此 REST API 连接器可以有效地将所配置的 FIM 事件实时导出到 Microsoft Sentinel。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 NXLogFIM_CL
数据收集规则支持 目前不支持
支持的服务 NXLog

查询示例

查找所有 DELETE 事件

NXLogFIM_CL

| where EventType_s == 'DELETE'

| project-away
SourceSystem,
Type

| sort by EventTime_t

每个主机每个类型的事件数条形图

NXLogFIM_CL

| summarize EventCount = count() by Hostname_s, EventType_s

| where strlen(EventType_s) > 1

| project Eventype = Hostname_s, EventType_s, EventCount

| order by EventCount desc

| render barchart

每个主机的事件数的可视化效果饼图

NXLogFIM_CL

| summarize EventCount = count() by Hostname_s, EventType_s

| sort by EventCount

| render piechart

每个主机的事件数常规摘要

NXLogFIM_CL

| summarize count() by Hostname_s, EventType_s

供应商安装说明

按照 NXLog 用户指南Microsoft Sentinel 集成一章中的分步说明来配置此连接器。