Можно ли создавать оповещения о работоспособности источника журнала в Azure Sentinel?

Question

Можно ли создавать оповещения о работоспособности источника журнала в Azure Sentinel?

Я пытаюсь создать предупреждение, которое позволит мне узнать, прекращает ли источник данных предоставлять журналы для Sentinel. Хотя я знаю, что он отображает аномалии в данных журнала на панели инструментов, я надеюсь получать предупреждения, если источник прекращает предоставлять журналы в течение длительного периода времени.

0

azure-log-analytics azure-monitoring azure-sentinel

Источник

user13757757 16 июн '20 в 20:26

1 ответ

Решение

Другие вопросы по тегам azure-log-analytics azure-monitoring azure-sentinel

user11544420 29 июн '20 в 13:52 2020-06-29 13:52 · Accepted Answer · 2020-06-29 13:52

Что-то вроде создания правила со следующим запросом (в данном случае CEF):

    CommonSecurityLog
    | where TimeGenerated > ago(24h)
    | summarize count() by DeviceVendor, DeviceProduct, DeviceName, DeviceExternalID
    | where count_ == 0

0

Источник

user11544420 29 июн '20 в 13:52