Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche
I log personalizzati di Microsoft Sentinel tramite il connettore dati AMA supportano la raccolta di log da file di testo di diverse applicazioni e dispositivi di rete e sicurezza.
Questo articolo fornisce le informazioni di configurazione, univoche per ogni applicazione di sicurezza specifica, che è necessario fornire durante la configurazione di questo connettore dati. Queste informazioni vengono fornite dai provider di applicazioni. Contattare il provider per gli aggiornamenti, per altre informazioni o quando le informazioni non sono disponibili per l'applicazione di sicurezza. Per le istruzioni complete per installare e configurare il connettore, vedere Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel, ma fare riferimento a questo articolo per informazioni univoce da fornire per ogni applicazione.
Questo articolo illustra anche come inserire dati da queste applicazioni all'area di lavoro di Microsoft Sentinel senza usare il connettore. Questi passaggi includono l'installazione dell'agente di Monitoraggio di Azure. Dopo aver installato il connettore, usare le istruzioni appropriate per l'applicazione, come illustrato più avanti in questo articolo, per completare l'installazione.
I dispositivi da cui si raccolgono log di testo personalizzati rientrano in due categorie:
Applicazioni installate in computer Windows o Linux
L'applicazione archivia i file di log nel computer in cui è installato. Per raccogliere questi log, l'agente di Monitoraggio di Azure viene installato nello stesso computer.
Appliance autonome nei dispositivi chiusi (in genere basati su Linux)
Queste appliance archiviano i log in un server syslog esterno. Per raccogliere questi log, gli agenti di Monitoraggio di Azure installati in questo server syslog esterno, spesso chiamati server d'inoltro dei log.
Per altre informazioni sulla soluzione Microsoft Sentinel correlata per ognuna di queste applicazioni, cercare i modelli di soluzione tipo di> prodotto in Azure Marketplace o esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.
Importante
Il connettore dati Log personalizzati tramite AMA è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
-
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Istruzioni generali
I passaggi per la raccolta di log dai computer che ospitano applicazioni e appliance seguono un modello generale:
Creare la tabella di destinazione in Log Analytics (o in Rilevazione avanzata nel portale Defender).
Creare la regola di raccolta dati per l'applicazione o l'appliance.
Distribuire l'agente di Monitoraggio di Azure nel computer che ospita l'applicazione o nel server esterno (server d'inoltro log) che raccoglie i log dalle appliance, se non è già stato distribuito.
Configurare la registrazione nell'applicazione. Se un'appliance, configurarla per inviare i log al server esterno (server d'inoltro log) in cui è installato l'agente di Monitoraggio di Azure.
Questi passaggi generali (ad eccezione dell'ultimo) vengono automatizzati quando si usano i log personalizzati tramite il connettore dati AMA e vengono descritti in dettaglio in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Istruzioni specifiche per tipo di applicazione
Le informazioni per applicazione necessarie per completare questi passaggi sono illustrate nel resto di questo articolo. Alcune di queste applicazioni si trovano in appliance autonome e richiedono un tipo di configurazione diverso, a partire dall'uso di un server d'inoltro dei log.
Ogni sezione dell'applicazione contiene le informazioni seguenti:
- Parametri univoci da fornire alla configurazione dei log personalizzati tramite il connettore dati AMA , se lo si usa.
- Struttura della procedura necessaria per inserire i dati manualmente, senza usare il connettore. Per informazioni dettagliate su questa procedura, vedere Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
- Istruzioni specifiche per la configurazione delle applicazioni o dei dispositivi di origine e/o collegamenti alle istruzioni sui siti Web dei provider. Questi passaggi devono essere eseguiti indipendentemente dall'uso o meno del connettore.
Server HTTP Apache
Seguire questa procedura per inserire messaggi di log da Apache HTTP Server:
Nome tabella:
ApacheHTTPServer_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"C:\Server\bin\log\Apache24\logs\*.log"
- Linux:
"/var/log/httpd/*.log"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Apache Tomcat
Seguire questa procedura per inserire messaggi di log da Apache Tomcat:
Nome tabella:
Tomcat_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Linux:
"/var/log/tomcat/*.log"
- Linux:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Cisco Meraki
Seguire questa procedura per inserire messaggi di log da Cisco Meraki:
Nome tabella:
meraki_CL
Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del
{LOCAL_PATH_FILE}
segnaposto nel Record di controllo di dominio.Configurare il daemon syslog per esportare i messaggi di log Meraki in un file di testo temporaneo in modo che l'AMA possa raccoglierli.
Creare un file di configurazione personalizzato per il daemon rsyslog e salvarlo in
/etc/rsyslog.d/10-meraki.conf
. Aggiungere le condizioni di filtro seguenti a questo file di configurazione:if $rawmsg contains "flows" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "urls" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ids-alerts" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "events" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_start" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_end" then { action(type="omfile" file="<LOG_FILE_Name>") stop }
Sostituire
<LOG_FILE_Name>
con il nome del file di log creato.Per altre informazioni sulle condizioni di filtro per rsyslog, vedere rsyslog: Condizioni di filtro. È consigliabile testare e modificare la configurazione in base all'installazione specifica.
Riavviare rsyslog. La sintassi tipica dei comandi è
systemctl restart rsyslog
.
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire il nome
"RawData"
della colonna con il nome"Message"
della colonna .Sostituire il valore
"source"
transformKql con il valore"source | project-rename Message=RawData"
.Sostituire i
{TABLE_NAME}
segnaposto e{LOCAL_PATH_FILE}
nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.
Configurare e connettere i dispositivi Cisco Meraki: seguire le istruzioni fornite da Cisco per l'invio di messaggi syslog. Usare l'indirizzo IP o il nome host della macchina virtuale in cui è installato l'agente di Monitoraggio di Azure.
JBoss Enterprise Application Platform
Seguire questa procedura per inserire messaggi di log da JBoss Enterprise Application Platform:
Nome tabella:
JBossLogs_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns") - Solo Linux:
- Server autonomo:
"{EAP_HOME}/standalone/log/server.log"
- Dominio gestito:
"{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
- Server autonomo:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
JuniperIDP
Seguire questa procedura per inserire messaggi di log da JuniperIDP:
Nome tabella:
JuniperIDP_CL
Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del
{LOCAL_PATH_FILE}
segnaposto nel Record di controllo di dominio.Configurare il daemon syslog per esportare i messaggi di log Di JuniperIDP in un file di testo temporaneo in modo che l'AMA possa raccoglierli.
Creare un file di configurazione personalizzato per il daemon rsyslog, nella
/etc/rsyslog.d/
cartella , con le condizioni di filtro seguenti:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
Sostituire
<parameters>
con i nomi effettivi degli oggetti rappresentati. <> LOG_FILE_NAME è il file creato nel passaggio 2.Riavviare rsyslog. La sintassi tipica dei comandi è
systemctl restart rsyslog
.
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire il nome
"RawData"
della colonna con il nome"Message"
della colonna .Sostituire i
{TABLE_NAME}
segnaposto e{LOCAL_PATH_FILE}
nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.Sostituire il valore
"source"
transformKql con la query Kusto seguente (racchiusa tra virgolette doppie):source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.
Per istruzioni su come configurare l'appliance Juniper IDP per l'invio di messaggi syslog a un server esterno, vedere Introduzione a SRX - Configurare System Logging..
MarkLogic Audit
Seguire questa procedura per inserire messaggi di log da MarkLogic Audit:
Nome tabella:
MarkLogicAudit_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
- Linux:
"/var/opt/MarkLogic/Logs/AuditLog.txt"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Configurare MarkLogic Audit per abilitarlo per la scrittura dei log: (dalla documentazione di MarkLogic)
- Usando il browser, passare all'interfaccia MarkLogic Admin.
- Aprire la schermata Controlla configurazione in Gruppi > group_name > Controllo.
- Contrassegnare il pulsante di opzione Controlla abilitato. Verificare che sia abilitata.
- Configurare l'evento di controllo e/o le restrizioni desiderate.
- Convalida selezionando OK.
- Per altre informazioni e opzioni di configurazione, vedere la documentazione di MarkLogic.
MongoDB Audit
Seguire questa procedura per inserire messaggi di log da MongoDB Audit:
Nome tabella:
MongoDBAudit_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"C:\data\db\auditlog.json"
- Linux:
"/data/db/auditlog.json"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Configurare MongoDB per scrivere i log:
- Per Windows modificare il file di
mongod.cfg
configurazione . Per Linux,mongod.conf
. - Impostare il parametro
dbpath
sudata/db
. - Impostare il parametro
path
su/data/db/auditlog.json
. - Per altri parametri e dettagli, vedere la documentazione di MongoDB.
- Per Windows modificare il file di
Server HTTP NGINX
Seguire questa procedura per inserire messaggi di log dal server HTTP NGINX:
Nome tabella:
NGINX_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Linux:
"/var/log/nginx.log"
- Linux:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Oracle WebLogic Server
Seguire questa procedura per inserire messaggi di log da Oracle WebLogic Server:
Nome tabella:
OracleWebLogicServer_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
- Linux:
"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Eventi PostgreSQL
Seguire questa procedura per inserire messaggi di log da eventi PostgreSQL:
Nome tabella:
PostgreSQL_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"C:\*.log"
- Linux:
"/var/log/*.log"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Modificare il file
postgresql.conf
di configurazione degli eventi PostgreSQL per restituire i log ai file.- Impostare
log_destination='stderr'
- Impostare
logging_collector=on
- Per altri parametri e dettagli, vedere la documentazione di PostgreSQL.
- Impostare
SecurityBridge Threat Detection for SAP
Seguire questa procedura per inserire messaggi di log da SecurityBridge Threat Detection for SAP:
Nome tabella:
SecurityBridgeLogs_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Linux:
"/usr/sap/tmp/sb_events/*.cef"
- Linux:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
SquidProxy
Seguire questa procedura per inserire messaggi di log da SquidProxy:
Nome tabella:
SquidProxy_CL
Percorso di archiviazione log: i log vengono archiviati come file di testo nel computer host dell'applicazione. Installare l'AMA nello stesso computer per raccogliere i file.
Percorsi file predefiniti ("filePatterns"):
- Windows:
"C:\Squid\var\log\squid\*.log"
- Linux:
"/var/log/squid/*.log"
- Windows:
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire i segnaposto {TABLE_NAME} e {LOCAL_PATH_FILE} nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Ubiquiti UniFi
Seguire questa procedura per inserire messaggi di log da Ubiquiti UniFi:
Nome tabella:
Ubiquiti_CL
Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del
{LOCAL_PATH_FILE}
segnaposto nel Record di controllo di dominio.Configurare il daemon syslog per esportare i messaggi di log Ubiquiti in un file di testo temporaneo in modo che l'AMA possa raccoglierli.
Creare un file di configurazione personalizzato per il daemon rsyslog, nella
/etc/rsyslog.d/
cartella , con le condizioni di filtro seguenti:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
Sostituire
<parameters>
con i nomi effettivi degli oggetti rappresentati. <> LOG_FILE_NAME è il file creato nel passaggio 2.Riavviare rsyslog. La sintassi tipica dei comandi è
systemctl restart rsyslog
.
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire il nome
"RawData"
della colonna con il nome"Message"
della colonna .Sostituire il valore
"source"
transformKql con il valore"source | project-rename Message=RawData"
.Sostituire i
{TABLE_NAME}
segnaposto e{LOCAL_PATH_FILE}
nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.
Configurare e connettere il controller Ubiquiti.
- Seguire le istruzioni fornite da Ubiquiti per abilitare syslog e facoltativamente eseguire il debug dei log.
- Selezionare Impostazioni > Impostazioni > Controller Configurazione > registrazione remota del controller e abilitare syslog.
VMware vCenter
Seguire questa procedura per inserire messaggi di log da VMware vCenter:
Nome tabella:
vcenter_CL
Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del
{LOCAL_PATH_FILE}
segnaposto nel Record di controllo di dominio.Configurare il daemon syslog per esportare i messaggi di log di vCenter in un file di testo temporaneo in modo che l'AMA possa raccoglierli.
Modificare il file
/etc/rsyslog.conf
di configurazione per aggiungere la riga del modello seguente prima della sezione della direttiva :$template vcenter,"%timestamp% %hostname% %msg%\ n"
Creare un file di configurazione personalizzato per il daemon rsyslog, salvato come
/etc/rsyslog.d/10-vcenter.conf
con le condizioni di filtro seguenti:if $rawmsg contains "vpxd" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop } if $rawmsg contains "vcenter-server" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop }
Sostituire
<LOG_FILE_NAME>
con il nome del file di log creato.Riavviare rsyslog. La sintassi tipica dei comandi è
sudo systemctl restart rsyslog
.
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire il nome
"RawData"
della colonna con il nome"Message"
della colonna .Sostituire il valore
"source"
transformKql con il valore"source | project-rename Message=RawData"
.Sostituire i
{TABLE_NAME}
segnaposto e{LOCAL_PATH_FILE}
nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.dataCollectionEndpointId deve essere popolato con il controller di dominio. Se non è disponibile, definirne uno nuovo. Per le istruzioni, vedere Creare un endpoint di raccolta dati.
Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.
Configurare e connettere i dispositivi vCenter.
- Seguire le istruzioni fornite da VMware per l'invio di messaggi syslog.
- Usare l'indirizzo IP o il nome host del computer in cui è installato l'agente di Monitoraggio di Azure.
Zscaler Private Access (ZPA)
Seguire questa procedura per inserire messaggi di log da Zscaler Private Access (ZPA):
Nome tabella:
ZPA_CL
Percorso archiviazione log: creare un file di log nel server syslog esterno. Concedere al file le autorizzazioni di scrittura del daemon syslog. Installare l'AMA nel server syslog esterno, se non è già installato. Immettere questo nome file e percorso nel campo Modello di file nel connettore oppure al posto del
{LOCAL_PATH_FILE}
segnaposto nel Record di controllo di dominio.Configurare il daemon syslog per esportare i messaggi di log ZPA in un file di testo temporaneo in modo che l'AMA possa raccoglierli.
Creare un file di configurazione personalizzato per il daemon rsyslog, nella
/etc/rsyslog.d/
cartella , con le condizioni di filtro seguenti:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
Sostituire
<parameters>
con i nomi effettivi degli oggetti rappresentati.Riavviare rsyslog. La sintassi tipica dei comandi è
systemctl restart rsyslog
.
Creare il registro di dominio in base alle istruzioni riportate in Raccogliere i log dai file di testo con l'agente di Monitoraggio di Azure e inserire in Microsoft Sentinel.
Sostituire il nome
"RawData"
della colonna con il nome"Message"
della colonna .Sostituire il valore
"source"
transformKql con il valore"source | project-rename Message=RawData"
.Sostituire i
{TABLE_NAME}
segnaposto e{LOCAL_PATH_FILE}
nel modello DCR con i valori nei passaggi 1 e 2. Sostituire gli altri segnaposto come indirizzato.
Configurare il computer in cui è installato l'agente di Monitoraggio di Azure per aprire le porte syslog e configurare il daemon syslog in modo da accettare messaggi da origini esterne. Per istruzioni dettagliate e uno script per automatizzare questa configurazione, vedere Configurare il server d'inoltro dei log per accettare i log.
Configurare e connettere il ricevitore ZPA.
- Seguire le istruzioni fornite da ZPA. Selezionare JSON come modello di log.
- Selezionare Impostazioni > Impostazioni > Controller Configurazione > registrazione remota del controller e abilitare syslog.