[非推奨]Microsoft Sentinel 用 VMware ESXi コネクタ

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

VMware ESXi コネクタを使用すると、VMware ESXi ログを Microsoft Sentinel に簡単に接続できます。これにより、組織の ESXi サーバーに関するより詳細な分析情報が得られ、セキュリティ操作機能が向上します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性	説明
Log Analytics テーブル	Syslog (VMwareESXi)
データ収集ルールのサポート	ワークスペース変換 DCR
サポートしているもの	Microsoft Corporation

クエリのサンプル

ログの種類ごとのイベント合計

VMwareESXi 

| summarize count() by ProcessName

イベントを生成する上位 10 の ESXi ホスト

VMwareESXi 

| summarize count() by HostName 

| top 10 by count_

前提条件

[非推奨] VMware ESXi と統合するには、次の機能があることを確認します。

• VMwareESXi: Syslog を使用してログをエクスポートするように構成する必要があります

ベンダーのインストール手順

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックしてエイリアス VMwareESXi を検索し、関数コードを読み込むか ここをクリックします。クエリの 2 行目で、VMwareESXi デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

2. 収集するログを構成する

収集するファシリティとその重要度を構成します。

1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。

2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。

3. [保存] をクリックします。

4. VMware ESXi を構成して接続する

5. これらの指示に従って、Syslog を転送するように VMWare ESXi を構成します。

• VMware ESXi 3.5 および 4.x
• VMware ESXi 5.0 以降

2. Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。