是否可以在 Azure Sentinel 中创建日志源运行状况警报?
Is it possible to create log source health alerts in Azure Sentinel?
我正在尝试创建一个警报,让我知道数据源是否停止向 Sentinel 提供日志。虽然我知道它在仪表板上显示日志数据异常,但我希望在源停止提供日志的时间过长时收到警报。
类似于使用以下查询(在本例中为 CEF)创建规则:
CommonSecurityLog
| where TimeGenerated > ago(24h)
| summarize count() by DeviceVendor, DeviceProduct, DeviceName, DeviceExternalID
| where count_ == 0
我正在尝试创建一个警报,让我知道数据源是否停止向 Sentinel 提供日志。虽然我知道它在仪表板上显示日志数据异常,但我希望在源停止提供日志的时间过长时收到警报。
类似于使用以下查询(在本例中为 CEF)创建规则:
CommonSecurityLog
| where TimeGenerated > ago(24h)
| summarize count() by DeviceVendor, DeviceProduct, DeviceName, DeviceExternalID
| where count_ == 0