Benutzerdefinierte Protokolle über AMA-Datenconnector – Konfigurieren der Datenerfassung in Microsoft Sentinel aus speziellen Anwendungen

Die benutzerdefinierten Protokolle von Microsoft Sentinel über den AMA-Datenconnector unterstützen die Sammlung von Protokollen aus Textdateien aus verschiedenen Netzwerk- und Sicherheitsanwendungen und -geräten.

In diesem Artikel werden die Konfigurationsinformationen bereitgestellt, die für jede bestimmte Sicherheitsanwendung eindeutig sind, die Sie beim Konfigurieren dieses Datenconnectors angeben müssen. Diese Informationen werden von den Anwendungsanbietern bereitgestellt. Wenden Sie sich an den Anbieter, um weitere Informationen zu erhalten oder wenn Informationen für Ihre Sicherheitsanwendung nicht verfügbar sind. Die vollständigen Anweisungen zum Installieren und Konfigurieren des Connectors finden Sie unter Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und der Aufnahme zu Microsoft Sentinel, verweisen sie jedoch auf diesen Artikel, um die eindeutigen Informationen zur Bereitstellung für jede Anwendung zu erhalten.

In diesem Artikel erfahren Sie auch, wie Sie Daten aus diesen Anwendungen in Ihren Microsoft Sentinel-Arbeitsbereich aufnehmen, ohne den Connector zu verwenden. Diese Schritte umfassen die Installation des Azure Monitor-Agents. Nachdem der Connector installiert wurde, verwenden Sie die entsprechenden Anweisungen für Ihre Anwendung, die weiter unten in diesem Artikel gezeigt werden, um das Setup abzuschließen.

Die Geräte, von denen Sie benutzerdefinierte Textprotokolle sammeln, sind in zwei Kategorien unterteilt:

• Auf Windows- oder Linux-Computern installierte Anwendungen

  Die Anwendung speichert ihre Protokolldateien auf dem Computer, auf dem sie installiert ist. Um diese Protokolle zu sammeln, wird der Azure Monitor-Agent auf diesem Computer installiert.

• Appliances, die auf geschlossenen (normalerweise Linux-basierten) Geräten eigenständig sind

  Diese Appliances speichern ihre Protokolle auf einem externen Syslog-Server. Um diese Protokolle zu sammeln, wird der auf diesem externen Syslog-Server installierte Azure Monitor-Agentis häufig als Protokollweiterleitung bezeichnet.

For more information about the related Microsoft Sentinel solution for each of these applications, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

General instructions

Die Schritte zum Sammeln von Protokollen von Computern, auf denen Anwendungen und Appliances gehostet werden, folgen einem allgemeinen Muster:

1. Erstellen Sie die Zieltabelle an einem der folgenden Speicherorte:

   • In the Defender portal, use the Advanced Hunting page.
   • Verwenden Sie im Azure-Portal Log Analytics.

2. Erstellen Sie die Datensammlungsregel (Data Collection Rule, DCR) für Ihre Anwendung oder Appliance.

3. Stellen Sie den Azure Monitor-Agent auf dem Computer bereit, auf dem die Anwendung gehostet wird, oder auf dem externen Server (Protokollweiterleitung), der Protokolle von Appliances sammelt, wenn sie noch nicht bereitgestellt ist.

4. Konfigurieren Sie die Protokollierung für Ihre Anwendung. Wenn eine Appliance, konfigurieren Sie sie so, dass sie ihre Protokolle an den externen Server (Protokollweiterleitung) sendet, auf dem der Azure Monitor-Agent installiert ist.

Diese allgemeinen Schritte (mit Ausnahme der letzten Schritte) werden automatisiert, wenn Sie die benutzerdefinierten Protokolle über den AMA-Datenconnector verwenden und in " Protokolle aus Textdateien sammeln" mit dem Azure Monitor-Agent und der Erfassung an Microsoft Sentinel ausführlich beschrieben werden.

Spezifische Anweisungen pro Anwendungstyp

Die anwendungsspezifischen Informationen, die Sie zum Ausführen dieser Schritte benötigen, finden Sie im restlichen Artikel. Einige dieser Anwendungen befinden sich auf eigenständigen Appliances und erfordern einen anderen Konfigurationstyp, beginnend mit der Verwendung einer Protokollweiterleitung.

Jeder Anwendungsabschnitt enthält die folgenden Informationen:

• Eindeutige Parameter, die für die Konfiguration der benutzerdefinierten Protokolle über den AMA-Datenconnector angegeben werden sollen, wenn Sie ihn verwenden.
• Die Gliederung des Verfahrens, das zum manuellen Aufnehmen von Daten erforderlich ist, ohne den Verbinder zu verwenden. Ausführliche Informationen zu diesem Verfahren finden Sie unter "Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und aufnahme in Microsoft Sentinel".
• Spezifische Anweisungen zum Konfigurieren der ursprünglichen Anwendungen oder Geräte selbst und/oder Links zu den Anweisungen auf den Websites der Anbieter. Diese Schritte müssen ausgeführt werden, unabhängig davon, ob sie den Verbinder verwenden oder nicht.

Apache HTTP Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Apache HTTP Server aufzunehmen:

1. Tabellenname: ApacheHTTPServer_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

Apache Tomcat

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Apache Tomcat aufzunehmen:

1. Tabellenname: Tomcat_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

Cisco Meraki

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Cisco Meraki aufzunehmen:

1. Tabellenname: meraki_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

3. Konfigurieren Sie den Syslog-Daemon, um seine Meraki-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   • rsyslog
   • syslog-ng

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon, und speichern Sie sie in /etc/rsyslog.d/10-meraki.conf. Fügen Sie dieser Konfigurationsdatei die folgenden Filterbedingungen hinzu:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Ersetzen Sie <LOG_FILE_Name> den Namen der von Ihnen erstellten Protokolldatei.)

      Weitere Informationen zu Filterbedingungen für rsyslog finden Sie unter rsyslog: Filterbedingungen. Wir empfehlen, die Konfiguration basierend auf Ihrer spezifischen Installation zu testen und zu ändern.

   2. Restart rsyslog. Die typische Befehlssyntax lautet systemctl restart rsyslog.

4. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und verbinden Sie die Cisco Meraki-Geräte: Befolgen Sie die Anweisungen von Cisco zum Senden von Syslog-Nachrichten. Verwenden Sie die IP-Adresse oder den Hostnamen des virtuellen Computers, auf dem der Azure Monitor-Agent installiert ist.

Zurück zum Anfang

JBoss Enterprise Application Platform

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von JBoss Enterprise Application Platform aufzunehmen:

1. Tabellenname: JBossLogs_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns") – nur Linux:

   • Eigenständiger Server: "{EAP_HOME}/standalone/log/server.log"
   • Verwaltete Domäne: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

JuniperIDP

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von JuniperIDP aufzunehmen:

1. Tabellenname: JuniperIDP_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

3. Konfigurieren Sie den Syslog-Daemon, um seine JuniperIDP-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   • rsyslog
   • syslog-ng

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte. <> LOG_FILE_NAME ist die Datei, die Sie in Schritt 2 erstellt haben.)

   2. Restart rsyslog. Die typische Befehlssyntax lautet systemctl restart rsyslog.

4. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

   • Ersetzen Sie den transformKql-Wert "source" durch die folgende Kusto-Abfrage (in doppelte Anführungszeichen eingeschlossen):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

     Der folgende Screenshot zeigt die vollständige Abfrage im vorherigen Beispiel in einem besser lesbaren Format:

     

     Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:

     • parse operator
     • extend operator
     • extract function
     • project-away operator

     Weitere Informationen zu KQL finden Sie unter Kusto Query Language (KQL)-Übersicht.

     Other resources:

     • KQL-Kurzübersicht
     • Kusto Query Language Learning-Ressourcen

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Die Anweisungen zum Konfigurieren der Juniper IDP-Appliance zum Senden von Syslog-Nachrichten an einen externen Server finden Sie unter SRX Getting Started – Configure System Logging..

Zurück zum Anfang

MarkLogic Audit

Führen Sie die folgenden Schritte aus, um Protokollmeldungen aus der MarkLogic-Überwachung aufzunehmen:

1. Tabellenname: MarkLogicAudit_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Konfigurieren Der MarkLogic-Überwachung, um das Schreiben von Protokollen zu ermöglichen: (aus der MarkLogic-Dokumentation)

   1. Navigieren Sie mit Ihrem Browser zur MarkLogic Admin-Schnittstelle.
   2. Öffnen Sie den Bildschirm "Überwachungskonfiguration" unter "Gruppen > group_name > Überwachung".
   3. Aktivieren Sie das Optionsfeld "Überwachung aktiviert". Stellen Sie sicher, dass sie aktiviert ist.
   4. Konfigurieren Sie das Überwachungsereignis und/oder die gewünschten Einschränkungen.
   5. Überprüfen Sie, indem Sie "OK" auswählen.
   6. Weitere Details und Konfigurationsoptionen finden Sie in der MarkLogic-Dokumentation.

Zurück zum Anfang

MongoDB Audit

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus der MongoDB-Überwachung aufzunehmen:

1. Tabellenname: MongoDBAudit_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Konfigurieren Sie MongoDB zum Schreiben von Protokollen:

   1. Bearbeiten Sie für Windows die Konfigurationsdatei mongod.cfg. Für Linux, mongod.conf.
   2. Setzen Sie den dbpath-Parameter auf data/db.
   3. Setzen Sie den path-Parameter auf /data/db/auditlog.json.
   4. Weitere Parameter und Details finden Sie in der MongoDB-Dokumentation.

Zurück zum Anfang

NGINX-HTTP-Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten vom NGINX-HTTP-Server aufzunehmen:

1. Tabellenname: NGINX_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

Oracle WebLogic Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Oracle WebLogic Server aufzunehmen:

1. Tabellenname: OracleWebLogicServer_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

PostgreSQL Events

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von PostgreSQL-Ereignissen aufzunehmen:

1. Tabellenname: PostgreSQL_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Bearbeiten Sie die Konfigurationsdatei postgresql.conf für PostgreSQL-Ereignisse, um Protokolle in Dateien auszugeben.

   1. Legen Sie log_destination='stderr' fest.
   2. Legen Sie logging_collector=on fest.
   3. Weitere Parameter und Details finden Sie in der PostgreSQL-Dokumentation.

Zurück zum Anfang

SecurityBridge-Bedrohungserkennung für SAP

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von SecurityBridge Threat Detection für SAP aufzunehmen:

1. Tabellenname: SecurityBridgeLogs_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

SquidProxy

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von SquidProxy aufzunehmen:

1. Tabellenname: SquidProxy_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Fenster: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück zum Anfang

Ubiquiti UniFi

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Ubiquiti UniFi aufzunehmen:

1. Tabellenname: Ubiquiti_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

3. Konfigurieren Sie den Syslog-Daemon, um seine Ubiquiti-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   • rsyslog
   • syslog-ng

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte. <> LOG_FILE_NAME ist die Datei, die Sie in Schritt 2 erstellt haben.)

   2. Restart rsyslog. Die typische Befehlssyntax lautet systemctl restart rsyslog.

4. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und verbinden Sie den Ubiquiti-Controller.

   1. Folgen Sie den Anweisungen von Ubiquiti , um syslog und optional Debuggingprotokolle zu aktivieren.
   2. Wählen Sie "Einstellungen > System Settings System Settings > Controller Configuration > Remote Logging" aus, und aktivieren Sie syslog.

Zurück zum Anfang

VMware vCenter

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus VMware vCenter aufzunehmen:

1. Tabellenname: vcenter_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

3. Konfigurieren Sie den Syslog-Daemon, um seine vCenter-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   • rsyslog
   • syslog-ng

   1. Edit the configuration file /etc/rsyslog.conf to add the following template line before the directive section:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon, gespeichert unter /etc/rsyslog.d/10-vcenter.conf den folgenden Filterbedingungen:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   3. Restart rsyslog. Die typische Befehlssyntax lautet sudo systemctl restart rsyslog.

4. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

   • dataCollectionEndpointId sollte mit Dem DCE aufgefüllt werden. Wenn Sie keins haben, definieren Sie eine neue. Anweisungen finden Sie unter Erstellen eines Datensammlungsendpunkts .

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und Verbinden der vCenter-Geräte.

   1. Folgen Sie den Anweisungen von VMware zum Senden von Syslog-Nachrichten.
   2. Verwenden Sie die IP-Adresse oder den Hostnamen des Computers, auf dem der Azure Monitor-Agent installiert ist.

Zurück zum Anfang

Zscaler Private Access (ZPA)

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus Zscaler Private Access (ZPA) aufzunehmen:

1. Tabellenname: ZPA_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

3. Konfigurieren Sie den Syslog-Daemon, um seine ZPA-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   • rsyslog
   • syslog-ng

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte.)

   2. Restart rsyslog. Die typische Befehlssyntax lautet systemctl restart rsyslog.

4. Erstellen Sie den DCR gemäß den Anweisungen in " Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und Verbinden des ZPA-Empfängers

   1. Folgen Sie den Anweisungen von ZPA. Wählen Sie JSON als Protokollvorlage aus.
   2. Wählen Sie "Einstellungen > System Settings System Settings > Controller Configuration > Remote Logging" aus, und aktivieren Sie syslog.

Zurück zum Anfang

Related content

• Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent
• Syslog über AMA und Common Event Format (CEF) über AMA Connectors für Microsoft Sentinel