[Не рекомендуется] Соединитель Microsoft Sysmon для Linux для Microsoft Sentinel

Sysmon для Linux предоставляет подробные сведения о создании процессов, сетевых подключениях и других системных событиях. [Sysmon для linux link:]. Соединитель Sysmon для Linux использует Системный журнал в качестве метода приема данных. Это решение зависит от ASIM для работы должным образом. Разверните ASIM , чтобы получить полное значение из решения.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Примеры запросов

Лучшие 10 событий по действиюProcessName

vimProcessCreateLinuxSysmon
         
| summarize count() by ActingProcessName
          
| top 10 by count_

Инструкции по установке поставщика

Этот соединитель данных зависит от синтаксического анализа ASIM на основе функций Kusto, которые будут работать должным образом. Развертывание синтаксического анализа

Будут развернуты следующие функции:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted

• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon

• vimNetworkSessionLinuxSysmon

Дополнительные сведения

1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

2. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
3. Нажмите кнопку Сохранить.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.