Microsoft Sentinel 的 Elastic Agent(独立)连接器
Elastic Agent 数据连接器提供将 Elastic Agent 日志、指标和安全数据引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | ElasticAgentLogs_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
前 10 个设备
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
先决条件
若要与 Elastic Agent(独立)集成,请确保:
- 如果连接需要,请包含自定义先决条件 - 否则删除自定义:任何自定义先决条件的说明
供应商安装说明
注意
此数据连接器依赖基于 Kusto 函数的分析程序,可作为使用 Microsoft Sentinel 解决方案进行部署的预期 ElasticAgentEvent 运行。
注意
此数据连接器是使用 Elastic Agent 7.14 开发的。
- 安装并载入适用于 Linux 或 Windows 的代理
在转发 Elastic Agent 日志的服务器上安装此代理。
来自部署在 Linux 或 Windows 服务器上的 Elastic Agent 日志由 Linux 或 Windows 代理收集。
- 配置 Elastic Agent(独立)
按照说明将 Elastic Agent 配置为输出到 Logstash
- 配置 Logstash 以使用 Microsoft Logstash 输出插件
按照步骤将 Logstash 配置为使用 microsoft-logstash-output-azure-loganalytics 插件:
3.1) 检查是否已安装插件:
./logstash-plugin list | grep 'azure-loganalytics'(如果已安装插件,请转到步骤 3.3)
3.2) 安装插件:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) 配置 Logstash 以使用插件
- 验证日志引入
按照说明验证连接性:
打开 Log Analytics,检查是否使用步骤 3.3 中指定的自定义表(例如 (ElasticAgentLogs_CL))接收日志。
连接将数据流式传输到工作区可能需要大约 30 分钟。