適用於 Microsoft Sentinel 的彈性代理程式 (獨立) 連接器
彈性代理程式數據連接器提供將彈性代理程序記錄、計量和安全性數據內嵌至 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | ElasticAgentLogs_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
前10個裝置
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
必要條件
若要與彈性代理程式整合(獨立式),請確定您有:
- 如果連線需要,請包含自定義必要條件 - 否則請刪除海關:任何自定義必要條件的描述
廠商安裝指示
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期 般運作 ElasticAgentEvent,而 ElasticAgentEvent 是使用 Microsoft Sentinel 解決方案所部署。
注意
此數據連接器已使用 彈性代理程式 7.14 開發。
- 安裝並上線Linux或 Windows 的代理程式
在轉送彈性代理程式記錄的伺服器上安裝代理程式。
Linux 或 Windows 代理程式所部署之彈性代理程序的記錄是由 Linux 或 Windows 代理程式所收集。
- 設定彈性代理程式 (獨立式)
依照指示 將彈性代理程式設定為將輸出至Logstash
- 設定 Logstash 以使用 Microsoft Logstash 輸出外掛程式
請遵循下列步驟來設定 Logstash 以使用 microsoft-logstash-output-azure-loganalytics 外掛程式:
3.1) 檢查外掛程式是否已安裝:
./logstash-plugin 列表 |grep 'azure-loganalytics' (如果已安裝外掛程式,請移至步驟 3.3)
3.2) 安裝外掛程式:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) 將Logstash 設定為使用外掛程式
- 驗證記錄擷取
請遵循指示來驗證您的連線能力:
開啟 Log Analytics,以使用步驟 3.3 中指定的自定義數據表來檢查記錄是否收到(例如ElasticAgentLogs_CL)。
線上將數據串流至您的工作區可能需要大約30分鐘的時間。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。