是否可以在 Azure Sentinel 中创建日志源健康警报？答案

【问题标题】：Is it possible to create log source health alerts in Azure Sentinel?是否可以在 Azure Sentinel 中创建日志源健康警报？
【发布时间】：2020-06-29 18:52:11
【问题描述】：

我正在尝试创建一个警报，让我知道数据源是否停止向 Sentinel 提供日志。虽然我知道它在仪表板上的日志数据中显示异常，但我希望在来源长时间停止提供日志时收到警报。

【问题讨论】：

您需要提供最少的代码来重现问题。在此链接中查看有关如何发布问题的更多详细信息：stackoverflow.com/help/minimal-reproducible-example

标签： azure-log-analytics azure-monitoring azure-sentinel

【解决方案1】：

类似于使用以下查询（在本例中为 CEF）创建规则：

    CommonSecurityLog
    | where TimeGenerated > ago(24h)
    | summarize count() by DeviceVendor, DeviceProduct, DeviceName, DeviceExternalID
    | where count_ == 0

【讨论】：