Sdílet prostřednictvím

[Zastaralé] Konektor Oracle Database Audit pro Microsoft Sentinel

  • Článek

Důležité

Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.

Datový konektor Oracle DB Audit poskytuje možnost ingestovat události auditu Oracle Database do Microsoft Sentinelu prostřednictvím syslogu. Další informace najdete v dokumentaci .

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Syslog (OracleDatabaseAudit)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 zdrojů

OracleDatabaseAuditEvent

| summarize count() by SrcDvcHostname

| top 10 by count_

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias Oracle Database Audit a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace událostí auditování databáze Oracle, které se mají odesílat do Syslogu

Postupujte podle následujících pokynů.

  1. Následujícím postupem vytvořte databázi Oracle.

  2. Přihlaste se k databázi Oracle vytvořenou z výše uvedeného kroku , postupujte takto.

  3. Pokud chcete povolit jednotné protokolování přes syslog pomocí příkazu Alter systému, povolte jednotné protokolování Pomocí těchto kroků.

  4. Vytvořte a povolte zásady auditu pro jednotné auditování, postupujte takto.

  5. Povolení syslogu a Prohlížeč událostí Captures pro sjednocený záznam auditu postupujte takto.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.