Condividi tramite


Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche

I log personalizzati di Microsoft Sentinel tramite il connettore dati AMA supportano la raccolta di log da file di testo di diverse applicazioni e dispositivi di rete e sicurezza.

Questo articolo fornisce le informazioni di configurazione, univoche per ogni applicazione di sicurezza specifica, che è necessario fornire durante la configurazione di questo connettore dati. Queste informazioni vengono fornite dai provider di applicazioni. Contattare il provider per gli aggiornamenti, per altre informazioni o quando le informazioni non sono disponibili per l'applicazione di sicurezza. Per le istruzioni complete per installare e configurare il connettore, vedere Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel, ma fare riferimento a questo articolo per informazioni univoce da fornire per ogni applicazione.

Questo articolo illustra anche come inserire dati da queste applicazioni all'area di lavoro di Microsoft Sentinel senza usare il connettore. Questi passaggi includono l'installazione dell'agente di Monitoraggio di Azure. Dopo aver installato il connettore, usare le istruzioni appropriate per l'applicazione, come illustrato più avanti in questo articolo, per completare l'installazione.

I dispositivi da cui si raccolgono log di testo personalizzati rientrano in due categorie:

  • Applicazioni installate in computer Windows o Linux

    L'applicazione archivia i file di log nel computer in cui è installato. Per raccogliere questi log, l'agente di Monitoraggio di Azure viene installato nello stesso computer.

  • Appliance autonome nei dispositivi chiusi (in genere basati su Linux)

    Queste appliance archiviano i log in un server syslog esterno. Per raccogliere questi log, gli agenti di Monitoraggio di Azure installati in questo server syslog esterno, spesso chiamati server d'inoltro dei log.

Per altre informazioni sulla soluzione Microsoft Sentinel correlata per ognuna di queste applicazioni, cercare i modelli di soluzione tipo di> prodotto in Azure Marketplace o esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.

Importante

  • Il connettore dati Log personalizzati tramite AMA è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

  • Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Istruzioni generali

I passaggi per la raccolta di log dai computer che ospitano applicazioni e appliance seguono un modello generale:

  1. Creare la tabella di destinazione in Log Analytics (o in Rilevazione avanzata nel portale Defender).

  2. Creare la regola di raccolta dati per l'applicazione o l'appliance.

  3. Distribuire l'agente di Monitoraggio di Azure nel computer che ospita l'applicazione o nel server esterno (server d'inoltro log) che raccoglie i log dalle appliance, se non è già stato distribuito.

  4. Configurare la registrazione nell'applicazione. Se un'appliance, configurarla per inviare i log al server esterno (server d'inoltro log) in cui è installato l'agente di Monitoraggio di Azure.

Questi passaggi generali (ad eccezione dell'ultimo) vengono automatizzati quando si usano i log personalizzati tramite il connettore dati AMA e vengono descritti in dettaglio in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

Istruzioni specifiche per tipo di applicazione

Le informazioni per applicazione necessarie per completare questi passaggi sono illustrate nel resto di questo articolo. Alcune di queste applicazioni si trovano in appliance autonome e richiedono un tipo di configurazione diverso, a partire dall'uso di un server d'inoltro dei log.

Ogni sezione dell'applicazione contiene le informazioni seguenti:

  • Parametri univoci da fornire alla configurazione dei log personalizzati tramite il connettore dati AMA , se lo si usa.
  • Struttura della procedura necessaria per inserire i dati manualmente, senza usare il connettore. Per informazioni dettagliate su questa procedura, vedere Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
  • Istruzioni specifiche per la configurazione delle applicazioni o dei dispositivi di origine e/o collegamenti alle istruzioni sui siti Web dei provider. Questi passaggi devono essere eseguiti indipendentemente dall'uso o meno del connettore.

Server HTTP Apache

Seguire questa procedura per inserire messaggi di log da Apache HTTP Server:

  1. Nome tabella: ApacheHTTPServer_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

Apache Tomcat

Seguire questa procedura per inserire messaggi di log da Apache Tomcat:

  1. Nome tabella: Tomcat_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

Cisco Meraki

Seguire questa procedura per inserire messaggi di log da Cisco Meraki:

  1. Nome tabella: meraki_CL

  2. Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del {LOCAL_PATH_FILE} segnaposto nel Record di controllo di dominio.

  3. Configurare il daemon syslog per esportare i messaggi di log Meraki in un file di testo temporaneo in modo che l'AMA possa raccoglierli.

    1. Creare un file di configurazione personalizzato per il daemon rsyslog e salvarlo in /etc/rsyslog.d/10-meraki.conf. Aggiungere le condizioni di filtro seguenti a questo file di configurazione:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      Sostituire <LOG_FILE_Name> con il nome del file di log creato.

      Per altre informazioni sulle condizioni di filtro per rsyslog, vedere rsyslog: Condizioni di filtro. È consigliabile testare e modificare la configurazione in base all'installazione specifica.

    2. Riavviare rsyslog. La sintassi tipica dei comandi è systemctl restart rsyslog.

  4. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    • Sostituire il nome "RawData" della colonna con il nome "Message"della colonna .

    • Sostituire il valore "source" transformKql con il valore "source | project-rename Message=RawData".

    • Sostituire i {TABLE_NAME} segnaposto e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  5. Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.

  6. Configurare e connettere i dispositivi Cisco Meraki: seguire le istruzioni fornite da Cisco per l'invio di messaggi syslog. Usare l'indirizzo IP o il nome host della macchina virtuale in cui è installato l'agente di Monitoraggio di Azure.

Torna all'inizio

JBoss Enterprise Application Platform

Seguire questa procedura per inserire messaggi di log da JBoss Enterprise Application Platform:

  1. Nome tabella: JBossLogs_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns") - Solo Linux:

    • Server autonomo: "{EAP_HOME}/standalone/log/server.log"
    • Dominio gestito: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

JuniperIDP

Seguire questa procedura per inserire messaggi di log da JuniperIDP:

  1. Nome tabella: JuniperIDP_CL

  2. Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del {LOCAL_PATH_FILE} segnaposto nel Record di controllo di dominio.

  3. Configurare il daemon syslog per esportare i messaggi di log Di JuniperIDP in un file di testo temporaneo in modo che l'AMA possa raccoglierli.

    1. Creare un file di configurazione personalizzato per il daemon rsyslog, nella /etc/rsyslog.d/ cartella , con le condizioni di filtro seguenti:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      Sostituire <parameters> con i nomi effettivi degli oggetti rappresentati. <> LOG_FILE_NAME è il file creato nel passaggio 2.

    2. Riavviare rsyslog. La sintassi tipica dei comandi è systemctl restart rsyslog.

  4. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    • Sostituire il nome "RawData" della colonna con il nome "Message"della colonna .

    • Sostituire i {TABLE_NAME} segnaposto e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

    • Sostituire il valore "source" transformKql con la query Kusto seguente (racchiusa tra virgolette doppie):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
      
  5. Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.

  6. Per istruzioni su come configurare l'appliance Juniper IDP per l'invio di messaggi syslog a un server esterno, vedere Introduzione a SRX - Configurare System Logging..

Torna all'inizio

MarkLogic Audit

Seguire questa procedura per inserire messaggi di log da MarkLogic Audit:

  1. Nome tabella: MarkLogicAudit_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  4. Configurare MarkLogic Audit per abilitarlo per la scrittura dei log: (dalla documentazione di MarkLogic)

    1. Usando il browser, passare all'interfaccia MarkLogic Admin.
    2. Aprire la schermata Controlla configurazione in Gruppi > group_name > Controllo.
    3. Contrassegnare il pulsante di opzione Controlla abilitato. Verificare che sia abilitata.
    4. Configurare l'evento di controllo e/o le restrizioni desiderate.
    5. Convalida selezionando OK.
    6. Per altre informazioni e opzioni di configurazione, vedere la documentazione di MarkLogic.

Torna all'inizio

MongoDB Audit

Seguire questa procedura per inserire messaggi di log da MongoDB Audit:

  1. Nome tabella: MongoDBAudit_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  4. Configurare MongoDB per scrivere i log:

    1. Per Windows modificare il file di mongod.cfgconfigurazione . Per Linux, mongod.conf.
    2. Impostare il parametro dbpath su data/db.
    3. Impostare il parametro path su /data/db/auditlog.json.
    4. Per altri parametri e dettagli, vedere la documentazione di MongoDB.

Torna all'inizio

Server HTTP NGINX

Seguire questa procedura per inserire messaggi di log dal server HTTP NGINX:

  1. Nome tabella: NGINX_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Linux: "/var/log/nginx.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

Oracle WebLogic Server

Seguire questa procedura per inserire messaggi di log da Oracle WebLogic Server:

  1. Nome tabella: OracleWebLogicServer_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

Eventi PostgreSQL

Seguire questa procedura per inserire messaggi di log da eventi PostgreSQL:

  1. Nome tabella: PostgreSQL_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  4. Modificare il file postgresql.conf di configurazione degli eventi PostgreSQL per restituire i log ai file.

    1. Impostare log_destination='stderr'
    2. Impostare logging_collector=on
    3. Per altri parametri e dettagli, vedere la documentazione di PostgreSQL.

Torna all'inizio

SecurityBridge Threat Detection for SAP

Seguire questa procedura per inserire messaggi di log da SecurityBridge Threat Detection for SAP:

  1. Nome tabella: SecurityBridgeLogs_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

SquidProxy

Seguire questa procedura per inserire messaggi di log da SquidProxy:

  1. Nome tabella: SquidProxy_CL

  2. Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.

    Percorsi file predefiniti ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"
  3. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

Torna all'inizio

Ubiquiti UniFi

Seguire questa procedura per inserire messaggi di log da Ubiquiti UniFi:

  1. Nome tabella: Ubiquiti_CL

  2. Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del {LOCAL_PATH_FILE} segnaposto nel Record di controllo di dominio.

  3. Configurare il daemon syslog per esportare i messaggi di log Ubiquiti in un file di testo temporaneo in modo che l'AMA possa raccoglierli.

    1. Creare un file di configurazione personalizzato per il daemon rsyslog, nella /etc/rsyslog.d/ cartella , con le condizioni di filtro seguenti:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      Sostituire <parameters> con i nomi effettivi degli oggetti rappresentati. <> LOG_FILE_NAME è il file creato nel passaggio 2.

    2. Riavviare rsyslog. La sintassi tipica dei comandi è systemctl restart rsyslog.

  4. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    • Sostituire il nome "RawData" della colonna con il nome "Message"della colonna .

    • Sostituire il valore "source" transformKql con il valore "source | project-rename Message=RawData".

    • Sostituire i {TABLE_NAME} segnaposto e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  5. Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.

  6. Configurare e connettere il controller Ubiquiti.

    1. Seguire le istruzioni fornite da Ubiquiti per abilitare syslog e facoltativamente eseguire il debug dei log.
    2. Selezionare Impostazioni > Impostazioni > Controller Configurazione > registrazione remota del controller e abilitare syslog.

Torna all'inizio

VMware vCenter

Seguire questa procedura per inserire messaggi di log da VMware vCenter:

  1. Nome tabella: vcenter_CL

  2. Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del {LOCAL_PATH_FILE} segnaposto nel Record di controllo di dominio.

  3. Configurare il daemon syslog per esportare i messaggi di log di vCenter in un file di testo temporaneo in modo che l'AMA possa raccoglierli.

    1. Modificare il file /etc/rsyslog.conf di configurazione per aggiungere la riga del modello seguente prima della sezione della direttiva :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Creare un file di configurazione personalizzato per il daemon rsyslog, salvato come /etc/rsyslog.d/10-vcenter.conf con le condizioni di filtro seguenti:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      Sostituire <LOG_FILE_NAME> con il nome del file di log creato.

    3. Riavviare rsyslog. La sintassi tipica dei comandi è sudo systemctl restart rsyslog.

  4. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    • Sostituire il nome "RawData" della colonna con il nome "Message"della colonna .

    • Sostituire il valore "source" transformKql con il valore "source | project-rename Message=RawData".

    • Sostituire i {TABLE_NAME} segnaposto e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

    • dataCollectionEndpointId deve essere popolato con il controller di dominio. Se non è disponibile, definirne uno nuovo. Per le istruzioni, vedere Creare un endpoint di raccolta dati.

  5. Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.

  6. Configurare e connettere i dispositivi vCenter.

    1. Seguire le istruzioni fornite da VMware per l'invio di messaggi syslog.
    2. Usare l'indirizzo IP o il nome host del computer in cui è installato l'agente di Monitoraggio di Azure.

Torna all'inizio

Zscaler Private Access (ZPA)

Seguire questa procedura per inserire messaggi di log da Zscaler Private Access (ZPA):

  1. Nome tabella: ZPA_CL

  2. Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del {LOCAL_PATH_FILE} segnaposto nel Record di controllo di dominio.

  3. Configurare il daemon syslog per esportare i messaggi di log ZPA in un file di testo temporaneo in modo che l'AMA possa raccoglierli.

    1. Creare un file di configurazione personalizzato per il daemon rsyslog, nella /etc/rsyslog.d/ cartella , con le condizioni di filtro seguenti:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      Sostituire <parameters> con i nomi effettivi degli oggetti rappresentati.

    2. Riavviare rsyslog. La sintassi tipica dei comandi è systemctl restart rsyslog.

  4. Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.

    • Sostituire il nome "RawData" della colonna con il nome "Message"della colonna .

    • Sostituire il valore "source" transformKql con il valore "source | project-rename Message=RawData".

    • Sostituire i {TABLE_NAME} segnaposto e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.

  5. Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.

  6. Configurare e connettere il ricevitore ZPA.

    1. Seguire le istruzioni fornite da ZPA. Selezionare JSON come modello di log.
    2. Selezionare Impostazioni > Impostazioni > Controller Configurazione > registrazione remota del controller e abilitare syslog.

Torna all'inizio