Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos en Microsoft Sentinel desde aplicaciones específicas

Los registros personalizados de Microsoft Sentinel a través del conector de datos AMA admiten la recopilación de registros de archivos de texto de varias aplicaciones y dispositivos de seguridad y red diferentes.

En este artículo se proporciona la información de configuración, única para cada aplicación de seguridad específica, que debe proporcionar al configurar este conector de datos. Los proveedores de aplicaciones proporcionan esta información. Póngase en contacto con el proveedor para obtener más información o cuando la información no esté disponible para la aplicación de seguridad. Para obtener las instrucciones completas para instalar y configurar el conector, consulte Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel, pero consulte este artículo para obtener información única para cada aplicación.

En este artículo también se muestra cómo ingerir datos de estas aplicaciones en el área de trabajo de Microsoft Sentinel sin usar el conector. Estos pasos incluyen la instalación del agente de Azure Monitor. Una vez instalado el conector, use las instrucciones adecuadas para la aplicación, que se muestran más adelante en este artículo, para completar la configuración.

Los dispositivos de los que recopila registros de texto personalizados se dividen en dos categorías:

• Aplicaciones instaladas en máquinas Windows o Linux

  La aplicación almacena sus archivos de registro en el equipo donde está instalado. Para recopilar estos registros, el agente de Azure Monitor se instala en esta misma máquina.

• Dispositivos autocontenida en dispositivos cerrados (normalmente basados en Linux)

  Estos dispositivos almacenan sus registros en un servidor syslog externo. Para recopilar estos registros, el agente de Azure Monitor instalado en este servidor syslog externo, a menudo denominado reenviador de registros.

Para obtener más información sobre la solución de Microsoft Sentinel relacionada para cada una de estas aplicaciones, busque Azure Marketplace para las plantillas de solución de tipo>de producto o revise la solución desde el centro de contenido de Microsoft Sentinel.

Importante

• El conector de datos de registros personalizados a través de AMA se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

• Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin XDR de Microsoft Defender ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Instrucciones generales

Los pasos para recopilar registros de máquinas que hospedan aplicaciones y dispositivos siguen un patrón general:

1. Cree la tabla de destino en Log Analytics (o Búsqueda avanzada de amenazas si está en el portal de Defender).

2. Cree la regla de recopilación de datos (DCR) para la aplicación o dispositivo.

3. Implemente el agente de Azure Monitor en la máquina que hospeda la aplicación o en el servidor externo (reenviador de registros) que recopila registros de dispositivos si aún no está implementado.

4. Configure el registro en la aplicación. Si un dispositivo, configúrelo para enviar sus registros al servidor externo (reenviador de registros) donde está instalado el agente de Azure Monitor.

Estos pasos generales (excepto el último) se automatizan cuando se usan los registros personalizados a través del conector de datos AMA y se describen en detalle en Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

Instrucciones específicas por tipo de aplicación

La información por aplicación que necesita para completar estos pasos se presenta en el resto de este artículo. Algunas de estas aplicaciones están en dispositivos independientes y requieren un tipo diferente de configuración, empezando por el uso de un reenviador de registros.

Cada sección de aplicación contiene la siguiente información:

• Parámetros únicos para proporcionar a la configuración de los registros personalizados a través del conector de datos AMA , si lo usa.
• Esquema del procedimiento necesario para ingerir datos manualmente, sin usar el conector. Para obtener los detalles de este procedimiento, consulte Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.
• Instrucciones específicas para configurar las aplicaciones o dispositivos de origen, o vínculos a las instrucciones de los sitios web de los proveedores. Estos pasos deben realizarse tanto si se usa el conector como si no.

Servidor HTTP de Apache

Siga estos pasos para ingerir mensajes de registro desde el servidor HTTP de Apache:

1. Nombre de tabla: ApacheHTTPServer_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

Apache Tomcat

Siga estos pasos para ingerir mensajes de registro de Apache Tomcat:

1. Nombre de tabla: Tomcat_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

Cisco Meraki

Siga estos pasos para ingerir mensajes de registro de Cisco Meraki:

1. Nombre de tabla: meraki_CL

2. Ubicación de almacenamiento de registros: cree un archivo de registro en el servidor syslog externo. Conceda al archivo los permisos de escritura del demonio de syslog. Instale AMA en el servidor syslog externo si aún no está instalado. Escriba este nombre de archivo y ruta de acceso en el campo Patrón de archivo del conector o en lugar del {LOCAL_PATH_FILE} marcador de posición en el DCR.

3. Configure el demonio de syslog para exportar sus mensajes de registro meraki a un archivo de texto temporal para que ama pueda recopilarlos.

   rsyslog

   1. Cree un archivo de configuración personalizado para el demonio rsyslog y guárdelo en /etc/rsyslog.d/10-meraki.conf. Agregue las siguientes condiciones de filtrado a este archivo de configuración:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Reemplace <LOG_FILE_Name> por el nombre del archivo de registro que creó).

      Para obtener más información sobre las condiciones de filtrado para rsyslog, consulte rsyslog: Condiciones de filtro. Se recomienda probar y modificar la configuración en función de la instalación específica.

   2. Reinicie rsyslog. La sintaxis de comando típica es systemctl restart rsyslog.

   syslog-ng

   1. Edite el archivo /etc/syslog-ng/conf.dde configuración y agregue las condiciones siguientes:

      filter f_meraki {
          message("flows") or message("urls") or message("ids-alerts") or message("events") or message("ip_flow_start") or message("ip_flow_end"); 
      }; 
      
      destination d_meraki { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_meraki); 
          destination(d_meraki); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   2. Reinicie syslog-ng. La sintaxis de comando típica es systemctl restart syslog-ng.

4. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   • Reemplace el nombre "RawData" de columna por el nombre "Message"de columna .

   • Reemplace el valor "source" transformKql por el valor "source | project-rename Message=RawData".

   • Reemplace los {TABLE_NAME} marcadores de posición y {LOCAL_PATH_FILE} de la plantilla DCR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

5. Configure la máquina donde está instalado el agente de Azure Monitor para abrir los puertos de syslog y configure el demonio de syslog allí para aceptar mensajes de orígenes externos. Para obtener instrucciones detalladas y un script para automatizar esta configuración, consulte Configuración del reenviador de registros para aceptar registros.

6. Configure y conecte los dispositivos Cisco Meraki: siga las instrucciones proporcionadas por Cisco para enviar mensajes syslog. Use la dirección IP o el nombre de host de la máquina virtual donde está instalado el agente de Azure Monitor.

Volver al principio

JBoss Enterprise Application Platform

Siga estos pasos para ingerir mensajes de registro desde JBoss Enterprise Application Platform:

1. Nombre de tabla: JBossLogs_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivos predeterminadas ("filePatterns") : solo Linux:

   • Servidor independiente: "{EAP_HOME}/standalone/log/server.log"
   • Dominio administrado: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

JuniperIDP

Siga estos pasos para ingerir mensajes de registro de JuniperIDP:

1. Nombre de tabla: JuniperIDP_CL

2. Ubicación de almacenamiento de registros: cree un archivo de registro en el servidor syslog externo. Conceda al archivo los permisos de escritura del demonio de syslog. Instale AMA en el servidor syslog externo si aún no está instalado. Escriba este nombre de archivo y ruta de acceso en el campo Patrón de archivo del conector o en lugar del {LOCAL_PATH_FILE} marcador de posición en el DCR.

3. Configure el demonio de syslog para exportar sus mensajes de registro de JuniperIDP a un archivo de texto temporal para que ama pueda recopilarlos.

   rsyslog

   1. Cree un archivo de configuración personalizado para el demonio rsyslog, en la /etc/rsyslog.d/ carpeta , con las siguientes condiciones de filtrado:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Reemplace por <parameters> los nombres reales de los objetos representados. <> LOG_FILE_NAME es el archivo que creó en el paso 2).

   2. Reinicie rsyslog. La sintaxis de comando típica es systemctl restart rsyslog.

   syslog-ng

   1. Edite el archivo /etc/syslog-ng/conf.dde configuración y agregue las condiciones siguientes:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   2. Reinicie syslog-ng. La sintaxis de comando típica es systemctl restart syslog-ng.

4. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   • Reemplace el nombre "RawData" de columna por el nombre "Message"de columna .

   • Reemplace los {TABLE_NAME} marcadores de posición y {LOCAL_PATH_FILE} de la plantilla DCR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

   • Reemplace el valor "source" transformKql por la siguiente consulta de Kusto (entre comillas dobles):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Configure la máquina donde está instalado el agente de Azure Monitor para abrir los puertos de syslog y configure el demonio de syslog allí para aceptar mensajes de orígenes externos. Para obtener instrucciones detalladas y un script para automatizar esta configuración, consulte Configuración del reenviador de registros para aceptar registros.

6. Para obtener instrucciones para configurar el dispositivo IDP de Juniper para enviar mensajes de syslog a un servidor externo, consulte Introducción a SRX: Configuración del registro del sistema.

Volver al principio

MarkLogic Audit

Siga estos pasos para ingerir mensajes de registro de MarkLogic Audit:

1. Nombre de tabla: MarkLogicAudit_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

4. Configure MarkLogic Audit para habilitarlo para escribir registros: (desde la documentación de MarkLogic)

   1. Con el explorador, vaya a la interfaz de administración de MarkLogic.
   2. Abra la pantalla Audit Configuration (Configuración de auditoría) en Groups > group_name > Auditing (Auditoría).
   3. Marque el botón de radio Audit Enabled (AuditAr habilitado). Asegúrese de que esté habilitado.
   4. Configure el evento de auditoría o las restricciones deseadas.
   5. Para validar, seleccione Aceptar.
   6. Consulte la documentación de MarkLogic para obtener más detalles y opciones de configuración.

Volver al principio

Auditoría de MongoDB

Siga estos pasos para ingerir mensajes de registro de mongoDB Audit:

1. Nombre de tabla: MongoDBAudit_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

4. Configure MongoDB para escribir registros:

   1. Para Windows, edite el archivo mongod.cfgde configuración . En el caso de Linux, mongod.conf.
   2. Establezca el parámetro dbpath en data/db.
   3. Establezca el parámetro path en /data/db/auditlog.json.
   4. Consulte la documentación de MongoDB para obtener más parámetros y detalles.

Volver al principio

NGINX HTTP Server

Siga estos pasos para ingerir mensajes de registro desde el servidor HTTP NGINX:

1. Nombre de tabla: NGINX_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

Servidor WebLogic de Oracle

Siga estos pasos para ingerir mensajes de registro de Oracle WebLogic Server:

1. Nombre de tabla: OracleWebLogicServer_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

Eventos de PostgreSQL

Siga estos pasos para ingerir mensajes de registro de eventos de PostgreSQL:

1. Nombre de tabla: PostgreSQL_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

4. Edite el archivo postgresql.conf de configuración de eventos de PostgreSQL para generar registros en archivos.

   1. Establezca log_destination='stderr'
   2. Establezca logging_collector=on
   3. Consulte la documentación de PostgreSQL para obtener más parámetros y detalles.

Volver al principio

SecurityBridge Threat Detection for SAP

Siga estos pasos para ingerir mensajes de registro de SecurityBridge Threat Detection para SAP:

1. Nombre de tabla: SecurityBridgeLogs_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

SquidProxy

Siga estos pasos para ingerir mensajes de registro de SquidProxy:

1. Nombre de tabla: SquidProxy_CL

2. Ubicación del almacenamiento de registros: los registros se almacenan como archivos de texto en la máquina host de la aplicación. Instale AMA en la misma máquina para recopilar los archivos.

   Ubicaciones de archivo predeterminadas ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   Reemplace los marcadores de posición {TABLE_NAME} y {LOCAL_PATH_FILE} de la plantilla dcR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

Volver al principio

Ubiquiti UniFi

Siga estos pasos para ingerir mensajes de registro de Ubiquiti UniFi:

1. Nombre de tabla: Ubiquiti_CL

2. Ubicación de almacenamiento de registros: cree un archivo de registro en el servidor syslog externo. Conceda al archivo los permisos de escritura del demonio de syslog. Instale AMA en el servidor syslog externo si aún no está instalado. Escriba este nombre de archivo y ruta de acceso en el campo Patrón de archivo del conector o en lugar del {LOCAL_PATH_FILE} marcador de posición en el DCR.

3. Configure el demonio de syslog para exportar sus mensajes de registro de Ubiquiti a un archivo de texto temporal para que ama pueda recopilarlos.

   rsyslog

   1. Cree un archivo de configuración personalizado para el demonio rsyslog, en la /etc/rsyslog.d/ carpeta , con las siguientes condiciones de filtrado:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Reemplace por <parameters> los nombres reales de los objetos representados. <> LOG_FILE_NAME es el archivo que creó en el paso 2).

   2. Reinicie rsyslog. La sintaxis de comando típica es systemctl restart rsyslog.

   syslog-ng

   1. Edite el archivo /etc/syslog-ng/conf.dde configuración y agregue las condiciones siguientes:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   2. Reinicie syslog-ng. La sintaxis de comando típica es systemctl restart syslog-ng.

4. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   • Reemplace el nombre "RawData" de columna por el nombre "Message"de columna .

   • Reemplace el valor "source" transformKql por el valor "source | project-rename Message=RawData".

   • Reemplace los {TABLE_NAME} marcadores de posición y {LOCAL_PATH_FILE} de la plantilla DCR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

5. Configure la máquina donde está instalado el agente de Azure Monitor para abrir los puertos de syslog y configure el demonio de syslog allí para aceptar mensajes de orígenes externos. Para obtener instrucciones detalladas y un script para automatizar esta configuración, consulte Configuración del reenviador de registros para aceptar registros.

6. Configure y conecte el controlador Ubiquiti.

   1. Siga las instrucciones proporcionadas por Ubiquiti para habilitar syslog y, opcionalmente, depurar registros.
   2. Seleccione Configuración configuración > del controlador de configuración > del sistema > Registro remoto y habilite syslog.

Volver al principio

VMware vCenter

Siga estos pasos para ingerir mensajes de registro de VMware vCenter:

1. Nombre de tabla: vcenter_CL

2. Ubicación de almacenamiento de registros: cree un archivo de registro en el servidor syslog externo. Conceda al archivo los permisos de escritura del demonio de syslog. Instale AMA en el servidor syslog externo si aún no está instalado. Escriba este nombre de archivo y ruta de acceso en el campo Patrón de archivo del conector o en lugar del {LOCAL_PATH_FILE} marcador de posición en el DCR.

3. Configure el demonio de syslog para exportar sus mensajes de registro de vCenter a un archivo de texto temporal para que ama pueda recopilarlos.

   rsyslog

   1. Edite el archivo /etc/rsyslog.conf de configuración para agregar la siguiente línea de plantilla antes de la sección directiva :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Cree un archivo de configuración personalizado para el demonio de rsyslog, guardado como /etc/rsyslog.d/10-vcenter.conf con las siguientes condiciones de filtrado:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   3. Reinicie rsyslog. La sintaxis de comando típica es sudo systemctl restart rsyslog.

   syslog-ng

   1. Edite el archivo /etc/syslog-ng/conf.dde configuración y agregue las siguientes condiciones de filtrado:

      filter f_vcenter {
          message("vpxd") or message("vcenter-server"); 
      }; 
      
      destination d_vcenter { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_vcenter); 
          destination(d_vcenter); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   2. Reinicie syslog-ng. La sintaxis de comando típica es systemctl restart syslog-ng.

4. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   • Reemplace el nombre "RawData" de columna por el nombre "Message"de columna .

   • Reemplace el valor "source" transformKql por el valor "source | project-rename Message=RawData".

   • Reemplace los {TABLE_NAME} marcadores de posición y {LOCAL_PATH_FILE} de la plantilla DCR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

   • dataCollectionEndpointId debe rellenarse con el DCE. Si no tiene una, defina una nueva. Consulte Creación de un punto de conexión de recopilación de datos para obtener las instrucciones.

5. Configure la máquina donde está instalado el agente de Azure Monitor para abrir los puertos de syslog y configure el demonio de syslog allí para aceptar mensajes de orígenes externos. Para obtener instrucciones detalladas y un script para automatizar esta configuración, consulte Configuración del reenviador de registros para aceptar registros.

6. Configure y conecte los dispositivos vCenter.

   1. Siga las instrucciones proporcionadas por VMware para enviar mensajes de syslog.
   2. Use la dirección IP o el nombre de host de la máquina donde está instalado el agente de Azure Monitor.

Volver al principio

Zscaler Private Access (ZPA)

Siga estos pasos para ingerir mensajes de registro de Zscaler Private Access (ZPA):

1. Nombre de tabla: ZPA_CL

2. Ubicación de almacenamiento de registros: cree un archivo de registro en el servidor syslog externo. Conceda al archivo los permisos de escritura del demonio de syslog. Instale AMA en el servidor syslog externo si aún no está instalado. Escriba este nombre de archivo y ruta de acceso en el campo Patrón de archivo del conector o en lugar del {LOCAL_PATH_FILE} marcador de posición en el DCR.

3. Configure el demonio de syslog para exportar sus mensajes de registro ZPA a un archivo de texto temporal para que ama pueda recopilarlos.

   rsyslog

   1. Cree un archivo de configuración personalizado para el demonio rsyslog, en la /etc/rsyslog.d/ carpeta , con las siguientes condiciones de filtrado:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Reemplace por <parameters> los nombres reales de los objetos representados).

   2. Reinicie rsyslog. La sintaxis de comando típica es systemctl restart rsyslog.

   syslog-ng

   1. Edite el archivo /etc/syslog-ng/conf.dde configuración y agregue las condiciones siguientes:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Reemplace <LOG_FILE_NAME> por el nombre del archivo de registro que creó).

   2. Reinicie syslog-ng. La sintaxis de comando típica es systemctl restart syslog-ng.

4. Cree el DCR según las instrucciones de Recopilación de registros de archivos de texto con el agente de Azure Monitor e ingesta en Microsoft Sentinel.

   • Reemplace el nombre "RawData" de columna por el nombre "Message"de columna .

   • Reemplace el valor "source" transformKql por el valor "source | project-rename Message=RawData".

   • Reemplace los {TABLE_NAME} marcadores de posición y {LOCAL_PATH_FILE} de la plantilla DCR por los valores de los pasos 1 y 2. Reemplace los demás marcadores de posición como se indica.

5. Configure la máquina donde está instalado el agente de Azure Monitor para abrir los puertos de syslog y configure el demonio de syslog allí para aceptar mensajes de orígenes externos. Para obtener instrucciones detalladas y un script para automatizar esta configuración, consulte Configuración del reenviador de registros para aceptar registros.

6. Configure y conecte el receptor ZPA.

   1. Siga las instrucciones proporcionadas por ZPA. Seleccione JSON como plantilla de registro.
   2. Seleccione Configuración configuración > del controlador de configuración > del sistema > Registro remoto y habilite syslog.

Volver al principio

Contenido relacionado

• Ingesta de mensajes syslog y CEF en Microsoft Sentinel con el agente de Azure Monitor
• Syslog a través del AMA y los conectores de formato de evento común (CEF) mediante el AMA para Microsoft Sentinel