次の方法で共有

[非推奨]Microsoft Sentinel 用 Ubiquiti UniFi コネクタ

  • [アーティクル]

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

Ubiquiti UniFi データ コネクタでは、Ubiquiti UniFi ファイアウォール、dns、ssh、AP イベントを Microsoft Sentinel に取り込む機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Ubiquiti_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 個のクライアント (ソース IP)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

ベンダーのインストール手順

注意

このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている UbiquitiAuditEvent) を利用して、想定のとおりに動作します。

注意

このデータ コネクタは、Enterprise System Controller リリース バージョン 5.6.2 (Syslog) を使用して開発されました。

  1. Linux 用または Windows 用エージェントのインストールとオンボード

Ubiquiti ログが Ubiquiti デバイス (リモート syslog サーバーなど) からのフォワーダーであるサーバーにエージェントをインストールします。

Linux または Windows サーバー上にデプロイされた Ubiquiti サーバーからのログは、Linux または Windows エージェントによって収集されます。

  1. 収集するログを構成する

次の構成手順に従って、Ubiquiti のログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。

  1. Ubiquiti コントローラーでログのフォワーディングを構成します。

    i. [設定] > [システム設定] > [コントローラーの構成] > [リモート ログ] に移動し、Syslog とデバッグ (オプション) のログを有効にします (詳細な手順については、「ユーザー ガイド」を参照してください)。

  2. 構成ファイル (Ubiquiti.conf) をダウンロードします。

  3. Azure Log Analytics エージェントをインストールしたサーバーにログインします。

  4. Ubiquiti.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。

  5. Ubiquiti.conf を次のように編集します。

    i. ログを転送するように Ubiquiti デバイスを設定したポートを指定します (4 行目)。

    ii. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)

  6. 変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。