Udostępnij przez

Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji

Niestandardowe dzienniki usługi Microsoft Sentinel za pośrednictwem łącznika danych usługi AMA obsługują zbieranie dzienników z plików tekstowych z kilku różnych aplikacji sieciowych i zabezpieczeń oraz urządzeń.

W tym artykule przedstawiono informacje o konfiguracji unikatowe dla każdej konkretnej aplikacji zabezpieczeń, które należy podać podczas konfigurowania tego łącznika danych. Te informacje są udostępniane przez dostawców aplikacji. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, aby uzyskać więcej informacji lub gdy informacje są niedostępne dla aplikacji zabezpieczeń. Aby uzyskać pełne instrukcje dotyczące instalowania i konfigurowania łącznika, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel, ale zapoznaj się z tym artykułem, aby uzyskać unikatowe informacje, które należy podać dla każdej aplikacji.

W tym artykule pokazano również, jak pozyskiwać dane z tych aplikacji do obszaru roboczego usługi Microsoft Sentinel bez korzystania z łącznika. Te kroki obejmują instalację agenta usługi Azure Monitor. Po zainstalowaniu łącznika użyj instrukcji odpowiednich dla aplikacji, pokazanych w dalszej części tego artykułu, aby ukończyć instalację.

Urządzenia, z których zbierane są niestandardowe dzienniki tekstowe, należą do dwóch kategorii:

  • Aplikacje zainstalowane na maszynach z systemem Windows lub Linux

    Aplikacja przechowuje pliki dziennika na komputerze, na którym jest zainstalowana. Aby zebrać te dzienniki, agent usługi Azure Monitor jest zainstalowany na tej samej maszynie.

  • Urządzenia, które są samodzielne na zamkniętych urządzeniach (zwykle opartych na systemie Linux)

    Te urządzenia przechowują dzienniki na zewnętrznym serwerze dziennika systemu. Aby zebrać te dzienniki, agenty usługi Azure Monitor zainstalowane na tym zewnętrznym serwerze syslog, często nazywane usługą przesyłania dalej dzienników.

For more information about the related Microsoft Sentinel solution for each of these applications, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

Important

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new users are also automatically onboarded and redirected from the Azure portal to the Defender portal. Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

General instructions

Kroki zbierania dzienników z maszyn hostowania aplikacji i urządzeń są zgodne z ogólnym wzorcem:

  1. Utwórz tabelę docelową w jednej z następujących lokalizacji:

    • In the Defender portal, use the Advanced Hunting page.
    • W witrynie Azure Portal użyj usługi Log Analytics.

  2. Utwórz regułę zbierania danych (DCR) dla aplikacji lub urządzenia.

  3. Wdróż agenta usługi Azure Monitor na maszynie obsługującej aplikację lub na serwerze zewnętrznym (usłudze przesyłania dalej dzienników), który zbiera dzienniki z urządzeń, jeśli nie został jeszcze wdrożony.

  4. Skonfiguruj rejestrowanie w aplikacji. Jeśli urządzenie, skonfiguruj je do wysyłania dzienników do serwera zewnętrznego (usługi przesyłania dalej dzienników), na którym jest zainstalowany agent usługi Azure Monitor.

Te ogólne kroki (z wyjątkiem ostatniego) są zautomatyzowane w przypadku korzystania z dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA i zostały szczegółowo opisane w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

Konkretne instrukcje dla typu aplikacji

Informacje dotyczące poszczególnych aplikacji, które należy wykonać, są przedstawione w pozostałej części tego artykułu. Niektóre z tych aplikacji znajdują się na własnych urządzeniach i wymagają innego typu konfiguracji, począwszy od korzystania z usługi przesyłania dalej dzienników.

Każda sekcja aplikacji zawiera następujące informacje:

  • Unikatowe parametry służące do dostarczania do konfiguracji dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA, jeśli go używasz.
  • Konspekt procedury wymaganej do ręcznego pozyskiwania danych bez użycia łącznika. Aby uzyskać szczegółowe informacje na temat tej procedury, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
  • Szczegółowe instrukcje dotyczące konfigurowania samodzielnie pochodzących aplikacji lub urządzeń oraz/lub linki do instrukcji w witrynach internetowych dostawców. Te kroki należy wykonać niezależnie od tego, czy używasz łącznika, czy nie.

Serwer HTTP Apache

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache HTTP:

  1. Nazwa tabeli: ApacheHTTPServer_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

Apache Tomcat

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache Tomcat:

  1. Nazwa tabeli: Tomcat_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

Cisco Meraki

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Cisco Meraki:

  1. Nazwa tabeli: meraki_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Meraki do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog i zapisz go w pliku /etc/rsyslog.d/10-meraki.conf. Dodaj następujące warunki filtrowania do tego pliku konfiguracji:

      if $rawmsg contains "flows" then {
    action(type="omfile" file="<LOG_FILE_Name>")
    stop
}
if $rawmsg contains "urls" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ids-alerts" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "events" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_start" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_end" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
}

      (Zastąp <LOG_FILE_Name> ciąg nazwą utworzonego pliku dziennika).

      Aby dowiedzieć się więcej na temat warunków filtrowania dla programu rsyslog, zobacz rsyslog: Filter conditions (Warunki filtrowania: warunki filtrowania). Zalecamy testowanie i modyfikowanie konfiguracji na podstawie określonej instalacji.

    2. Restart rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz urządzenia Cisco Meraki: postępuj zgodnie z instrukcjami dostarczonymi przez firmę Cisco w celu wysyłania komunikatów dziennika systemowego. Użyj adresu IP lub nazwy hosta maszyny wirtualnej, na której zainstalowano agenta usługi Azure Monitor.

Powrót do góry

JBoss Enterprise Application Platform

Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika z platformy aplikacji JBoss Enterprise:

  1. Nazwa tabeli: JBossLogs_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns") — tylko system Linux:

    • Serwer autonomiczny: "{EAP_HOME}/standalone/log/server.log"
    • Domena zarządzana: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

JuniperIDP

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z protokołu JuniperIDP:

  1. Nazwa tabeli: JuniperIDP_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika JuniperIDP do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Zastąp <parameters> ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.

    2. Restart rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

    • Zastąp wartość "source" transformKql następującym zapytaniem Kusto (ujęte w cudzysłowy):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData

      Poniższy zrzut ekranu przedstawia pełne zapytanie w poprzednim przykładzie w bardziej czytelnym formacie:

      Zrzut ekranu przedstawiający rozwinięte zapytanie Kusto z podziałami wierszy na potrzeby czytelności.

      Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:

      Aby uzyskać więcej informacji na temat języka KQL, zobacz Omówienie języka Kusto Query Language (KQL).

      Other resources:

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Aby uzyskać instrukcje dotyczące konfigurowania urządzenia IDP Juniper w celu wysyłania komunikatów dziennika systemowego do serwera zewnętrznego, zobacz SRX Getting Started - Configure System Logging..

Powrót do góry

MarkLogic Audit

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji MarkLogic:

  1. Nazwa tabeli: MarkLogicAudit_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Skonfiguruj inspekcję MarkLogic, aby umożliwić jej zapisywanie dzienników: (z dokumentacji narzędzia MarkLogic)

    1. Za pomocą przeglądarki przejdź do interfejsu administratora języka MarkLogic.
    2. Otwórz ekran Konfiguracja inspekcji w obszarze Grupy > group_name > Inspekcja.
    3. Oznacz przycisk radiowy Audit Enabled (Włącz inspekcję). Upewnij się, że jest ona włączona.
    4. Skonfiguruj żądane zdarzenia inspekcji i/lub ograniczenia.
    5. Zweryfikuj, wybierając przycisk OK.
    6. Aby uzyskać więcej szczegółów i opcji konfiguracji, zapoznaj się z dokumentacją języka MarkLogic.

Powrót do góry

MongoDB Audit

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji bazy danych MongoDB:

  1. Nazwa tabeli: MongoDBAudit_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Skonfiguruj bazę danych MongoDB do zapisywania dzienników:

    1. W przypadku systemu Windows zmodyfikuj plik mongod.cfgkonfiguracji . W przypadku systemu Linux. mongod.conf
    2. dbpath Ustaw parametr na data/db.
    3. path Ustaw parametr na /data/db/auditlog.json.
    4. Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych MongoDB.

Powrót do góry

Serwer HTTP NGINX

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera HTTP NGINX:

  1. Nazwa tabeli: NGINX_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/var/log/nginx.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

Oracle WebLogic Server

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Oracle WebLogic:

  1. Nazwa tabeli: OracleWebLogicServer_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

PostgreSQL Events

Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika ze zdarzeń PostgreSQL:

  1. Nazwa tabeli: PostgreSQL_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Edytuj plik postgresql.conf konfiguracji zdarzeń PostgreSQL, aby wyświetlić dzienniki do plików.

    1. Zbiór log_destination='stderr'
    2. Zbiór logging_collector=on
    3. Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych PostgreSQL.

Powrót do góry

SecurityBridge Threat Detection for SAP

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z rozwiązania SecurityBridge Threat Detection for SAP:

  1. Nazwa tabeli: SecurityBridgeLogs_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

SquidProxy

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji SquidProxy:

  1. Nazwa tabeli: SquidProxy_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"

  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do góry

Ubiquiti UniFi

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Ubiquiti UniFi:

  1. Nazwa tabeli: Ubiquiti_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Ubiquiti do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Zastąp <parameters> ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.

    2. Restart rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz kontroler Ubiquiti.

    1. Postępuj zgodnie z instrukcjami podanymi przez aplikację Ubiquiti , aby włączyć dziennik syslog i opcjonalnie debugować dzienniki.
    2. Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.

Powrót do góry

VMware vCenter

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z programu VMware vCenter:

  1. Nazwa tabeli: vcenter_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika vCenter do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Edit the configuration file /etc/rsyslog.conf to add the following template line before the directive section:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Utwórz niestandardowy plik konfiguracji dla demona rsyslog zapisanego zgodnie /etc/rsyslog.d/10-vcenter.conf z następującymi warunkami filtrowania:

      if $rawmsg contains "vpxd" then {
    action(type="omfile" file="/<LOG_FILE_NAME>")
    stop
}
if $rawmsg contains "vcenter-server" then { 
    action(type="omfile" file="/<LOG_FILE_NAME>") 
    stop 
}

      (Zastąp <LOG_FILE_NAME> ciąg nazwą utworzonego pliku dziennika).

    3. Restart rsyslog. Typowa składnia polecenia to sudo systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

    • identyfikator dataCollectionEndpointId powinien zostać wypełniony za pomocą kontrolera DOMENY. Jeśli go nie masz, zdefiniuj nowy. Aby uzyskać instrukcje, zobacz Tworzenie punktu końcowego zbierania danych .

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Konfigurowanie i łączenie urządzeń vCenter.

    1. Postępuj zgodnie z instrukcjami dostarczonymi przez program VMware na potrzeby wysyłania komunikatów dziennika systemowego.
    2. Użyj adresu IP lub nazwy hosta maszyny, na której zainstalowano agenta usługi Azure Monitor.

Powrót do góry

Zscaler Private Access (ZPA)

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z usługi Zscaler Private Access (ZPA):

  1. Nazwa tabeli: ZPA_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Enter this filename and path in the File pattern field in the connector, or in place of the {LOCAL_PATH_FILE} placeholder in the DCR.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika ZPA do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Zastąp <parameters> ciąg rzeczywistymi nazwami reprezentowanych obiektów).

    2. Restart rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • Replace the {TABLE_NAME} and {LOCAL_PATH_FILE} placeholders in the DCR template with the values in steps 1 and 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz odbiornik ZPA.

    1. Postępuj zgodnie z instrukcjami podanymi przez ZPA. Wybierz plik JSON jako szablon dziennika.
    2. Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.

Powrót do góry

Related content

  • Last updated on