Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji
Niestandardowe dzienniki usługi Microsoft Sentinel za pośrednictwem łącznika danych usługi AMA obsługują zbieranie dzienników z plików tekstowych z kilku różnych aplikacji sieciowych i zabezpieczeń oraz urządzeń.
W tym artykule przedstawiono informacje o konfiguracji unikatowe dla każdej konkretnej aplikacji zabezpieczeń, które należy podać podczas konfigurowania tego łącznika danych. Te informacje są udostępniane przez dostawców aplikacji. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, aby uzyskać więcej informacji lub gdy informacje są niedostępne dla aplikacji zabezpieczeń. Aby uzyskać pełne instrukcje dotyczące instalowania i konfigurowania łącznika, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel, ale zapoznaj się z tym artykułem, aby uzyskać unikatowe informacje, które należy podać dla każdej aplikacji.
W tym artykule pokazano również, jak pozyskiwać dane z tych aplikacji do obszaru roboczego usługi Microsoft Sentinel bez korzystania z łącznika. Te kroki obejmują instalację agenta usługi Azure Monitor. Po zainstalowaniu łącznika użyj instrukcji odpowiednich dla aplikacji, pokazanych w dalszej części tego artykułu, aby ukończyć instalację.
Urządzenia, z których zbierane są niestandardowe dzienniki tekstowe, należą do dwóch kategorii:
Aplikacje zainstalowane na maszynach z systemem Windows lub Linux
Aplikacja przechowuje pliki dziennika na komputerze, na którym jest zainstalowana. Aby zebrać te dzienniki, agent usługi Azure Monitor jest zainstalowany na tej samej maszynie.
Urządzenia, które są samodzielne na zamkniętych urządzeniach (zwykle opartych na systemie Linux)
Te urządzenia przechowują dzienniki na zewnętrznym serwerze dziennika systemu. Aby zebrać te dzienniki, agenty usługi Azure Monitor zainstalowane na tym zewnętrznym serwerze syslog, często nazywane usługą przesyłania dalej dzienników.
Aby uzyskać więcej informacji na temat powiązanego rozwiązania usługi Microsoft Sentinel dla każdej z tych aplikacji, wyszukaj szablony rozwiązań typu>produktów w witrynie Azure Marketplace lub zapoznaj się z rozwiązaniem z centrum zawartości w usłudze Microsoft Sentinel.
Ważne
Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
-
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Ogólne instrukcje
Kroki zbierania dzienników z maszyn hostowania aplikacji i urządzeń są zgodne z ogólnym wzorcem:
Utwórz tabelę docelową w usłudze Log Analytics (lub wyszukiwanie zaawansowane, jeśli jesteś w portalu usługi Defender).
Utwórz regułę zbierania danych (DCR) dla aplikacji lub urządzenia.
Wdróż agenta usługi Azure Monitor na maszynie obsługującej aplikację lub na serwerze zewnętrznym (usłudze przesyłania dalej dzienników), który zbiera dzienniki z urządzeń, jeśli nie został jeszcze wdrożony.
Skonfiguruj rejestrowanie w aplikacji. Jeśli urządzenie, skonfiguruj je do wysyłania dzienników do serwera zewnętrznego (usługi przesyłania dalej dzienników), na którym jest zainstalowany agent usługi Azure Monitor.
Te ogólne kroki (z wyjątkiem ostatniego) są zautomatyzowane w przypadku korzystania z dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA i zostały szczegółowo opisane w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Konkretne instrukcje dla typu aplikacji
Informacje dotyczące poszczególnych aplikacji, które należy wykonać, są przedstawione w pozostałej części tego artykułu. Niektóre z tych aplikacji znajdują się na własnych urządzeniach i wymagają innego typu konfiguracji, począwszy od korzystania z usługi przesyłania dalej dzienników.
Każda sekcja aplikacji zawiera następujące informacje:
- Unikatowe parametry służące do dostarczania do konfiguracji dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA , jeśli go używasz.
- Konspekt procedury wymaganej do ręcznego pozyskiwania danych bez użycia łącznika. Aby uzyskać szczegółowe informacje na temat tej procedury, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
- Szczegółowe instrukcje dotyczące konfigurowania samodzielnie pochodzących aplikacji lub urządzeń oraz/lub linki do instrukcji w witrynach internetowych dostawców. Te kroki należy wykonać niezależnie od tego, czy używasz łącznika, czy nie.
Serwer HTTP Apache
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache HTTP:
Nazwa tabeli:
ApacheHTTPServer_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"C:\Server\bin\log\Apache24\logs\*.log"
- Linux:
"/var/log/httpd/*.log"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Apache Tomcat
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache Tomcat:
Nazwa tabeli:
Tomcat_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Linux:
"/var/log/tomcat/*.log"
- Linux:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Cisco Meraki
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Cisco Meraki:
Nazwa tabeli:
meraki_CL
Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast
{LOCAL_PATH_FILE}
symbolu zastępczego w kontrolerze domeny.Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Meraki do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.
Utwórz niestandardowy plik konfiguracji dla demona rsyslog i zapisz go w pliku
/etc/rsyslog.d/10-meraki.conf
. Dodaj następujące warunki filtrowania do tego pliku konfiguracji:if $rawmsg contains "flows" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "urls" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ids-alerts" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "events" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_start" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_end" then { action(type="omfile" file="<LOG_FILE_Name>") stop }
(Zastąp
<LOG_FILE_Name>
ciąg nazwą utworzonego pliku dziennika).Aby dowiedzieć się więcej na temat warunków filtrowania dla programu rsyslog, zobacz rsyslog: Filter conditions (Warunki filtrowania: warunki filtrowania). Zalecamy testowanie i modyfikowanie konfiguracji na podstawie określonej instalacji.
Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to
systemctl restart rsyslog
.
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp nazwę
"RawData"
kolumny nazwą"Message"
kolumny .Zastąp wartość
"source"
transformKql wartością"source | project-rename Message=RawData"
.{TABLE_NAME}
Zastąp symbole zastępcze i{LOCAL_PATH_FILE}
w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.
Skonfiguruj i połącz urządzenia Cisco Meraki: postępuj zgodnie z instrukcjami dostarczonymi przez firmę Cisco w celu wysyłania komunikatów dziennika systemowego. Użyj adresu IP lub nazwy hosta maszyny wirtualnej, na której zainstalowano agenta usługi Azure Monitor.
JBoss Enterprise Application Platform
Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika z platformy aplikacji JBoss Enterprise:
Nazwa tabeli:
JBossLogs_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns") — tylko system Linux:
- Serwer autonomiczny:
"{EAP_HOME}/standalone/log/server.log"
- Domena zarządzana:
"{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
- Serwer autonomiczny:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
JuniperIDP
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z protokołu JuniperIDP:
Nazwa tabeli:
JuniperIDP_CL
Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast
{LOCAL_PATH_FILE}
symbolu zastępczego w kontrolerze domeny.Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika JuniperIDP do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.
Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze
/etc/rsyslog.d/
z następującymi warunkami filtrowania:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Zastąp
<parameters>
ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to
systemctl restart rsyslog
.
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp nazwę
"RawData"
kolumny nazwą"Message"
kolumny .{TABLE_NAME}
Zastąp symbole zastępcze i{LOCAL_PATH_FILE}
w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.Zastąp wartość
"source"
transformKql następującym zapytaniem Kusto (ujęte w cudzysłowy):source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
Poniższy zrzut ekranu przedstawia pełne zapytanie w poprzednim przykładzie w bardziej czytelnym formacie:
Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:
Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).
Inne zasoby:
Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.
Aby uzyskać instrukcje dotyczące konfigurowania urządzenia IDP Juniper w celu wysyłania komunikatów dziennika systemowego do serwera zewnętrznego, zobacz SRX Getting Started - Configure System Logging..
Inspekcja MarkLogic
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji MarkLogic:
Nazwa tabeli:
MarkLogicAudit_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
- Linux:
"/var/opt/MarkLogic/Logs/AuditLog.txt"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Skonfiguruj inspekcję MarkLogic, aby umożliwić jej zapisywanie dzienników: (z dokumentacji narzędzia MarkLogic)
- Za pomocą przeglądarki przejdź do interfejsu administratora języka MarkLogic.
- Otwórz ekran Konfiguracja inspekcji w obszarze Grupy > group_name > Inspekcja.
- Oznacz przycisk radiowy Audit Enabled (Włącz inspekcję). Upewnij się, że jest ona włączona.
- Skonfiguruj żądane zdarzenia inspekcji i/lub ograniczenia.
- Zweryfikuj, wybierając przycisk OK.
- Aby uzyskać więcej szczegółów i opcji konfiguracji, zapoznaj się z dokumentacją języka MarkLogic.
Inspekcja bazy danych MongoDB
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji bazy danych MongoDB:
Nazwa tabeli:
MongoDBAudit_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"C:\data\db\auditlog.json"
- Linux:
"/data/db/auditlog.json"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Skonfiguruj bazę danych MongoDB do zapisywania dzienników:
- W przypadku systemu Windows zmodyfikuj plik
mongod.cfg
konfiguracji . W przypadku systemu Linux.mongod.conf
dbpath
Ustaw parametr nadata/db
.path
Ustaw parametr na/data/db/auditlog.json
.- Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych MongoDB.
- W przypadku systemu Windows zmodyfikuj plik
Serwer HTTP NGINX
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera HTTP NGINX:
Nazwa tabeli:
NGINX_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Linux:
"/var/log/nginx.log"
- Linux:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Oracle WebLogic Server
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Oracle WebLogic:
Nazwa tabeli:
OracleWebLogicServer_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
- Linux:
"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Zdarzenia postgreSQL
Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika ze zdarzeń PostgreSQL:
Nazwa tabeli:
PostgreSQL_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"C:\*.log"
- Linux:
"/var/log/*.log"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Edytuj plik
postgresql.conf
konfiguracji zdarzeń PostgreSQL, aby wyświetlić dzienniki do plików.- Zbiór
log_destination='stderr'
- Zbiór
logging_collector=on
- Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych PostgreSQL.
- Zbiór
SecurityBridge Threat Detection for SAP
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z rozwiązania SecurityBridge Threat Detection for SAP:
Nazwa tabeli:
SecurityBridgeLogs_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Linux:
"/usr/sap/tmp/sb_events/*.cef"
- Linux:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
SquidProxy
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji SquidProxy:
Nazwa tabeli:
SquidProxy_CL
Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.
Domyślne lokalizacje plików ("filePatterns"):
- Windows:
"C:\Squid\var\log\squid\*.log"
- Linux:
"/var/log/squid/*.log"
- Windows:
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Ubiquiti UniFi
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Ubiquiti UniFi:
Nazwa tabeli:
Ubiquiti_CL
Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast
{LOCAL_PATH_FILE}
symbolu zastępczego w kontrolerze domeny.Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Ubiquiti do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.
Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze
/etc/rsyslog.d/
z następującymi warunkami filtrowania:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Zastąp
<parameters>
ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to
systemctl restart rsyslog
.
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp nazwę
"RawData"
kolumny nazwą"Message"
kolumny .Zastąp wartość
"source"
transformKql wartością"source | project-rename Message=RawData"
.{TABLE_NAME}
Zastąp symbole zastępcze i{LOCAL_PATH_FILE}
w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.
Skonfiguruj i połącz kontroler Ubiquiti.
- Postępuj zgodnie z instrukcjami podanymi przez aplikację Ubiquiti , aby włączyć dziennik syslog i opcjonalnie debugować dzienniki.
- Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.
VMware vCenter
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z programu VMware vCenter:
Nazwa tabeli:
vcenter_CL
Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast
{LOCAL_PATH_FILE}
symbolu zastępczego w kontrolerze domeny.Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika vCenter do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.
Edytuj plik
/etc/rsyslog.conf
konfiguracji, aby dodać następujący wiersz szablonu przed sekcją dyrektywy :$template vcenter,"%timestamp% %hostname% %msg%\ n"
Utwórz niestandardowy plik konfiguracji dla demona rsyslog zapisanego zgodnie
/etc/rsyslog.d/10-vcenter.conf
z następującymi warunkami filtrowania:if $rawmsg contains "vpxd" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop } if $rawmsg contains "vcenter-server" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop }
(Zastąp
<LOG_FILE_NAME>
ciąg nazwą utworzonego pliku dziennika).Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to
sudo systemctl restart rsyslog
.
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp nazwę
"RawData"
kolumny nazwą"Message"
kolumny .Zastąp wartość
"source"
transformKql wartością"source | project-rename Message=RawData"
.{TABLE_NAME}
Zastąp symbole zastępcze i{LOCAL_PATH_FILE}
w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.identyfikator dataCollectionEndpointId powinien zostać wypełniony za pomocą kontrolera DOMENY. Jeśli go nie masz, zdefiniuj nowy. Aby uzyskać instrukcje, zobacz Tworzenie punktu końcowego zbierania danych.
Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.
Konfigurowanie i łączenie urządzeń vCenter.
- Postępuj zgodnie z instrukcjami dostarczonymi przez program VMware na potrzeby wysyłania komunikatów dziennika systemowego.
- Użyj adresu IP lub nazwy hosta maszyny, na której zainstalowano agenta usługi Azure Monitor.
Zscaler Private Access (ZPA)
Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z usługi Zscaler Private Access (ZPA):
Nazwa tabeli:
ZPA_CL
Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast
{LOCAL_PATH_FILE}
symbolu zastępczego w kontrolerze domeny.Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika ZPA do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.
Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze
/etc/rsyslog.d/
z następującymi warunkami filtrowania:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Zastąp
<parameters>
ciąg rzeczywistymi nazwami reprezentowanych obiektów).Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to
systemctl restart rsyslog
.
Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
Zastąp nazwę
"RawData"
kolumny nazwą"Message"
kolumny .Zastąp wartość
"source"
transformKql wartością"source | project-rename Message=RawData"
.{TABLE_NAME}
Zastąp symbole zastępcze i{LOCAL_PATH_FILE}
w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.
Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.
Skonfiguruj i połącz odbiornik ZPA.
- Postępuj zgodnie z instrukcjami podanymi przez ZPA. Wybierz plik JSON jako szablon dziennika.
- Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.