適用於 Microsoft Sentinel 的彈性代理程式 (獨立) 連接器
彈性代理程式資料連接器提供將彈性代理程式記錄、計量和安全性資料內嵌至 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
記錄分析資料表 | ElasticAgentLogs_CL |
資料收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
前 10 個裝置
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
必要條件
若要與彈性代理程式 (獨立式) 整合,請確定您有:
- 如果連線能力需要包含自訂必要條件 - 否則請刪除自訂:任何自訂必要條件的描述
廠商安裝指示
注意
此資料連接器依賴以 Kusto 函式為基礎的剖析器,如預期方式運作 ElasticAgentEvent,其透過 Microsoft Sentinel 解決方案部署。
注意
此資料連接器為使用 Elastic Agent 7.14 開發。
- 安裝 Linux 或 Windows 代理程式,並將其上線
在轉送彈性代理程式記錄的伺服器上安裝代理程式。
Linux 或 Windows 代理程式會收集部署在 Linux 或 Windows 伺服器上之彈性代理程式的記錄。
- 設定彈性代理程式 (獨立式)
遵循指示將彈性代理程式設定為將輸出至 Logstash
- 設定 Logstash 以使用 Microsoft Logstash 輸出外掛程式
請遵循下列步驟來設定 Logstash,以使用 microsoft-logstash-output-azure-loganalytics 外掛程式:
3.1) 檢查外掛程式是否已安裝:
./logstash-plugin 列表 | grep「azure-loganalytics」(如果已安裝外掛程式,請移至步驟 3.3)
3.2) 安裝外掛程式:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) 設定 Logstash 以使用外掛程式
- 驗證記錄擷取
遵循指示驗證您的連線能力:
開啟 Log Analytics,以使用步驟 3.3 中指定的自訂資料表來檢查記錄是否收到 (例如 ElasticAgentLogs_CL)。
連線將資料串流至工作區可能需要 30 分鐘的時間。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。