共用方式為


適用於 Microsoft Sentinel 的彈性代理程式 (獨立) 連接器

彈性代理程式資料連接器提供將彈性代理程式記錄、計量和安全性資料內嵌至 Microsoft Sentinel 的功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 ElasticAgentLogs_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

前 10 個裝置

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

必要條件

若要與彈性代理程式 (獨立式) 整合,請確定您有:

  • 如果連線能力需要包含自訂必要條件 - 否則請刪除自訂:任何自訂必要條件的描述

廠商安裝指示

注意

此資料連接器依賴以 Kusto 函式為基礎的剖析器,如預期方式運作 ElasticAgentEvent,其透過 Microsoft Sentinel 解決方案部署。

注意

此資料連接器為使用 Elastic Agent 7.14 開發。

  1. 安裝 Linux 或 Windows 代理程式,並將其上線

在轉送彈性代理程式記錄的伺服器上安裝代理程式。

Linux Windows 代理程式會收集部署在 Linux 或 Windows 伺服器上之彈性代理程式的記錄。

  1. 設定彈性代理程式 (獨立式)

遵循指示將彈性代理程式設定為將輸出至 Logstash

  1. 設定 Logstash 以使用 Microsoft Logstash 輸出外掛程式

請遵循下列步驟來設定 Logstash,以使用 microsoft-logstash-output-azure-loganalytics 外掛程式:

3.1) 檢查外掛程式是否已安裝:

./logstash-plugin 列表 | grep「azure-loganalytics」(如果已安裝外掛程式,請移至步驟 3.3)

3.2) 安裝外掛程式:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) 設定 Logstash 以使用外掛程式

  1. 驗證記錄擷取

遵循指示驗證您的連線能力:

開啟 Log Analytics,以使用步驟 3.3 中指定的自訂資料表來檢查記錄是否收到 (例如 ElasticAgentLogs_CL)。

連線將資料串流至工作區可能需要 30 分鐘的時間。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。