Udostępnij za pośrednictwem


Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji

Niestandardowe dzienniki usługi Microsoft Sentinel za pośrednictwem łącznika danych usługi AMA obsługują zbieranie dzienników z plików tekstowych z kilku różnych aplikacji sieciowych i zabezpieczeń oraz urządzeń.

W tym artykule przedstawiono informacje o konfiguracji unikatowe dla każdej konkretnej aplikacji zabezpieczeń, które należy podać podczas konfigurowania tego łącznika danych. Te informacje są udostępniane przez dostawców aplikacji. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, aby uzyskać więcej informacji lub gdy informacje są niedostępne dla aplikacji zabezpieczeń. Aby uzyskać pełne instrukcje dotyczące instalowania i konfigurowania łącznika, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel, ale zapoznaj się z tym artykułem, aby uzyskać unikatowe informacje, które należy podać dla każdej aplikacji.

W tym artykule pokazano również, jak pozyskiwać dane z tych aplikacji do obszaru roboczego usługi Microsoft Sentinel bez korzystania z łącznika. Te kroki obejmują instalację agenta usługi Azure Monitor. Po zainstalowaniu łącznika użyj instrukcji odpowiednich dla aplikacji, pokazanych w dalszej części tego artykułu, aby ukończyć instalację.

Urządzenia, z których zbierane są niestandardowe dzienniki tekstowe, należą do dwóch kategorii:

  • Aplikacje zainstalowane na maszynach z systemem Windows lub Linux

    Aplikacja przechowuje pliki dziennika na komputerze, na którym jest zainstalowana. Aby zebrać te dzienniki, agent usługi Azure Monitor jest zainstalowany na tej samej maszynie.

  • Urządzenia, które są samodzielne na zamkniętych urządzeniach (zwykle opartych na systemie Linux)

    Te urządzenia przechowują dzienniki na zewnętrznym serwerze dziennika systemu. Aby zebrać te dzienniki, agenty usługi Azure Monitor zainstalowane na tym zewnętrznym serwerze syslog, często nazywane usługą przesyłania dalej dzienników.

Aby uzyskać więcej informacji na temat powiązanego rozwiązania usługi Microsoft Sentinel dla każdej z tych aplikacji, wyszukaj szablony rozwiązań typu>produktów w witrynie Azure Marketplace lub zapoznaj się z rozwiązaniem z centrum zawartości w usłudze Microsoft Sentinel.

Ważne

Ogólne instrukcje

Kroki zbierania dzienników z maszyn hostowania aplikacji i urządzeń są zgodne z ogólnym wzorcem:

  1. Utwórz tabelę docelową w usłudze Log Analytics (lub wyszukiwanie zaawansowane, jeśli jesteś w portalu usługi Defender).

  2. Utwórz regułę zbierania danych (DCR) dla aplikacji lub urządzenia.

  3. Wdróż agenta usługi Azure Monitor na maszynie obsługującej aplikację lub na serwerze zewnętrznym (usłudze przesyłania dalej dzienników), który zbiera dzienniki z urządzeń, jeśli nie został jeszcze wdrożony.

  4. Skonfiguruj rejestrowanie w aplikacji. Jeśli urządzenie, skonfiguruj je do wysyłania dzienników do serwera zewnętrznego (usługi przesyłania dalej dzienników), na którym jest zainstalowany agent usługi Azure Monitor.

Te ogólne kroki (z wyjątkiem ostatniego) są zautomatyzowane w przypadku korzystania z dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA i zostały szczegółowo opisane w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

Konkretne instrukcje dla typu aplikacji

Informacje dotyczące poszczególnych aplikacji, które należy wykonać, są przedstawione w pozostałej części tego artykułu. Niektóre z tych aplikacji znajdują się na własnych urządzeniach i wymagają innego typu konfiguracji, począwszy od korzystania z usługi przesyłania dalej dzienników.

Każda sekcja aplikacji zawiera następujące informacje:

  • Unikatowe parametry służące do dostarczania do konfiguracji dzienników niestandardowych za pośrednictwem łącznika danych usługi AMA , jeśli go używasz.
  • Konspekt procedury wymaganej do ręcznego pozyskiwania danych bez użycia łącznika. Aby uzyskać szczegółowe informacje na temat tej procedury, zobacz Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.
  • Szczegółowe instrukcje dotyczące konfigurowania samodzielnie pochodzących aplikacji lub urządzeń oraz/lub linki do instrukcji w witrynach internetowych dostawców. Te kroki należy wykonać niezależnie od tego, czy używasz łącznika, czy nie.

Serwer HTTP Apache

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache HTTP:

  1. Nazwa tabeli: ApacheHTTPServer_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

Apache Tomcat

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Apache Tomcat:

  1. Nazwa tabeli: Tomcat_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

Cisco Meraki

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Cisco Meraki:

  1. Nazwa tabeli: meraki_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast {LOCAL_PATH_FILE} symbolu zastępczego w kontrolerze domeny.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Meraki do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog i zapisz go w pliku /etc/rsyslog.d/10-meraki.conf. Dodaj następujące warunki filtrowania do tego pliku konfiguracji:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Zastąp <LOG_FILE_Name> ciąg nazwą utworzonego pliku dziennika).

      Aby dowiedzieć się więcej na temat warunków filtrowania dla programu rsyslog, zobacz rsyslog: Filter conditions (Warunki filtrowania: warunki filtrowania). Zalecamy testowanie i modyfikowanie konfiguracji na podstawie określonej instalacji.

    2. Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • {TABLE_NAME} Zastąp symbole zastępcze i {LOCAL_PATH_FILE} w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz urządzenia Cisco Meraki: postępuj zgodnie z instrukcjami dostarczonymi przez firmę Cisco w celu wysyłania komunikatów dziennika systemowego. Użyj adresu IP lub nazwy hosta maszyny wirtualnej, na której zainstalowano agenta usługi Azure Monitor.

Powrót do początku

JBoss Enterprise Application Platform

Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika z platformy aplikacji JBoss Enterprise:

  1. Nazwa tabeli: JBossLogs_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns") — tylko system Linux:

    • Serwer autonomiczny: "{EAP_HOME}/standalone/log/server.log"
    • Domena zarządzana: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

JuniperIDP

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z protokołu JuniperIDP:

  1. Nazwa tabeli: JuniperIDP_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast {LOCAL_PATH_FILE} symbolu zastępczego w kontrolerze domeny.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika JuniperIDP do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Zastąp <parameters> ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.

    2. Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • {TABLE_NAME} Zastąp symbole zastępcze i {LOCAL_PATH_FILE} w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

    • Zastąp wartość "source" transformKql następującym zapytaniem Kusto (ujęte w cudzysłowy):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
      

      Poniższy zrzut ekranu przedstawia pełne zapytanie w poprzednim przykładzie w bardziej czytelnym formacie:

      Zrzut ekranu przedstawiający rozwinięte zapytanie Kusto z podziałami wierszy na potrzeby czytelności.

      Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:

      Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).

      Inne zasoby:

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Aby uzyskać instrukcje dotyczące konfigurowania urządzenia IDP Juniper w celu wysyłania komunikatów dziennika systemowego do serwera zewnętrznego, zobacz SRX Getting Started - Configure System Logging..

Powrót do początku

Inspekcja MarkLogic

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji MarkLogic:

  1. Nazwa tabeli: MarkLogicAudit_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Skonfiguruj inspekcję MarkLogic, aby umożliwić jej zapisywanie dzienników: (z dokumentacji narzędzia MarkLogic)

    1. Za pomocą przeglądarki przejdź do interfejsu administratora języka MarkLogic.
    2. Otwórz ekran Konfiguracja inspekcji w obszarze Grupy > group_name > Inspekcja.
    3. Oznacz przycisk radiowy Audit Enabled (Włącz inspekcję). Upewnij się, że jest ona włączona.
    4. Skonfiguruj żądane zdarzenia inspekcji i/lub ograniczenia.
    5. Zweryfikuj, wybierając przycisk OK.
    6. Aby uzyskać więcej szczegółów i opcji konfiguracji, zapoznaj się z dokumentacją języka MarkLogic.

Powrót do początku

Inspekcja bazy danych MongoDB

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z inspekcji bazy danych MongoDB:

  1. Nazwa tabeli: MongoDBAudit_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Skonfiguruj bazę danych MongoDB do zapisywania dzienników:

    1. W przypadku systemu Windows zmodyfikuj plik mongod.cfgkonfiguracji . W przypadku systemu Linux. mongod.conf
    2. dbpath Ustaw parametr na data/db.
    3. path Ustaw parametr na /data/db/auditlog.json.
    4. Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych MongoDB.

Powrót do początku

Serwer HTTP NGINX

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera HTTP NGINX:

  1. Nazwa tabeli: NGINX_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/var/log/nginx.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

Oracle WebLogic Server

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z serwera Oracle WebLogic:

  1. Nazwa tabeli: OracleWebLogicServer_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

Zdarzenia postgreSQL

Wykonaj następujące kroki, aby pozyskiwać komunikaty dziennika ze zdarzeń PostgreSQL:

  1. Nazwa tabeli: PostgreSQL_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  4. Edytuj plik postgresql.conf konfiguracji zdarzeń PostgreSQL, aby wyświetlić dzienniki do plików.

    1. Zbiór log_destination='stderr'
    2. Zbiór logging_collector=on
    3. Aby uzyskać więcej parametrów i szczegółów, zapoznaj się z dokumentacją bazy danych PostgreSQL.

Powrót do początku

SecurityBridge Threat Detection for SAP

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z rozwiązania SecurityBridge Threat Detection for SAP:

  1. Nazwa tabeli: SecurityBridgeLogs_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

SquidProxy

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji SquidProxy:

  1. Nazwa tabeli: SquidProxy_CL

  2. Lokalizacja przechowywania dzienników: dzienniki są przechowywane jako pliki tekstowe na maszynie hosta aplikacji. Zainstaluj aplikację AMA na tej samej maszynie, aby zebrać pliki.

    Domyślne lokalizacje plików ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"
  3. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    Zastąp symbole zastępcze {TABLE_NAME} i {LOCAL_PATH_FILE} w szablonie dcR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

Powrót do początku

Ubiquiti UniFi

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z aplikacji Ubiquiti UniFi:

  1. Nazwa tabeli: Ubiquiti_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast {LOCAL_PATH_FILE} symbolu zastępczego w kontrolerze domeny.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika Ubiquiti do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Zastąp <parameters> ciąg rzeczywistymi nazwami obiektów reprezentowanych. <> LOG_FILE_NAME to plik utworzony w kroku 2.

    2. Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • {TABLE_NAME} Zastąp symbole zastępcze i {LOCAL_PATH_FILE} w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz kontroler Ubiquiti.

    1. Postępuj zgodnie z instrukcjami podanymi przez aplikację Ubiquiti , aby włączyć dziennik syslog i opcjonalnie debugować dzienniki.
    2. Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.

Powrót do początku

VMware vCenter

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z programu VMware vCenter:

  1. Nazwa tabeli: vcenter_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast {LOCAL_PATH_FILE} symbolu zastępczego w kontrolerze domeny.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika vCenter do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Edytuj plik /etc/rsyslog.conf konfiguracji, aby dodać następujący wiersz szablonu przed sekcją dyrektywy :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Utwórz niestandardowy plik konfiguracji dla demona rsyslog zapisanego zgodnie /etc/rsyslog.d/10-vcenter.conf z następującymi warunkami filtrowania:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Zastąp <LOG_FILE_NAME> ciąg nazwą utworzonego pliku dziennika).

    3. Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to sudo systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • {TABLE_NAME} Zastąp symbole zastępcze i {LOCAL_PATH_FILE} w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

    • identyfikator dataCollectionEndpointId powinien zostać wypełniony za pomocą kontrolera DOMENY. Jeśli go nie masz, zdefiniuj nowy. Aby uzyskać instrukcje, zobacz Tworzenie punktu końcowego zbierania danych.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Konfigurowanie i łączenie urządzeń vCenter.

    1. Postępuj zgodnie z instrukcjami dostarczonymi przez program VMware na potrzeby wysyłania komunikatów dziennika systemowego.
    2. Użyj adresu IP lub nazwy hosta maszyny, na której zainstalowano agenta usługi Azure Monitor.

Powrót do początku

Zscaler Private Access (ZPA)

Wykonaj następujące kroki, aby pozyskać komunikaty dziennika z usługi Zscaler Private Access (ZPA):

  1. Nazwa tabeli: ZPA_CL

  2. Lokalizacja przechowywania dzienników: utwórz plik dziennika na zewnętrznym serwerze syslog. Udziel uprawnień do zapisu demona dziennika systemowego do pliku. Zainstaluj serwer AMA na zewnętrznym serwerze syslog, jeśli nie został jeszcze zainstalowany. Wprowadź tę nazwę pliku i ścieżkę w polu Wzorzec pliku w łączniku lub zamiast {LOCAL_PATH_FILE} symbolu zastępczego w kontrolerze domeny.

  3. Skonfiguruj demona dziennika systemu, aby wyeksportować komunikaty dziennika ZPA do tymczasowego pliku tekstowego, aby usługa AMA mogła je zbierać.

    1. Utwórz niestandardowy plik konfiguracji dla demona rsyslog w folderze /etc/rsyslog.d/ z następującymi warunkami filtrowania:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Zastąp <parameters> ciąg rzeczywistymi nazwami reprezentowanych obiektów).

    2. Uruchom ponownie serwer rsyslog. Typowa składnia polecenia to systemctl restart rsyslog.

  4. Utwórz kontroler domeny zgodnie z instrukcjami w temacie Zbieranie dzienników z plików tekstowych za pomocą agenta usługi Azure Monitor i pozyskiwanie do usługi Microsoft Sentinel.

    • Zastąp nazwę "RawData" kolumny nazwą "Message"kolumny .

    • Zastąp wartość "source" transformKql wartością "source | project-rename Message=RawData".

    • {TABLE_NAME} Zastąp symbole zastępcze i {LOCAL_PATH_FILE} w szablonie DCR wartościami w krokach 1 i 2. Zastąp inne symbole zastępcze zgodnie z zaleceniami.

  5. Skonfiguruj maszynę, na której zainstalowano agenta usługi Azure Monitor, aby otworzyć porty dziennika systemowego, i skonfigurować demona dziennika systemowego w taki sposób, aby akceptował komunikaty ze źródeł zewnętrznych. Aby uzyskać szczegółowe instrukcje i skrypt umożliwiający zautomatyzowanie tej konfiguracji, zobacz Konfigurowanie usługi przesyłania dalej dziennika w celu akceptowania dzienników.

  6. Skonfiguruj i połącz odbiornik ZPA.

    1. Postępuj zgodnie z instrukcjami podanymi przez ZPA. Wybierz plik JSON jako szablon dziennika.
    2. Wybierz pozycję Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dziennik syslog.

Powrót do początku