Conector de dados Logs Personalizados via AMA: configurar a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos
Os Logs Personalizados do Microsoft Sentinel por meio do conector de dados AMA dão suporte à coleta de logs de arquivos de texto de vários aplicativos e dispositivos de rede e segurança diferentes.
Este artigo fornece as informações de configuração, exclusivas para cada aplicativo de segurança específico, que você precisa fornecer ao configurar esse conector de dados. Essas informações são fornecidas pelos provedores de aplicativos. Entre em contato com o provedor para obter atualizações, obter mais informações ou quando as informações não estiverem disponíveis para seu aplicativo de segurança. Para obter as instruções completas sobre como instalar e configurar o conector, consulte Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel, mas consulte este artigo para obter as informações exclusivas a serem fornecidas para cada aplicativo.
Este artigo também mostra como ingerir dados desses aplicativos no workspace do Microsoft Sentinel sem usar o conector. Essas etapas incluem a instalação do Agente do Azure Monitor. Depois que o conector for instalado, use as instruções apropriadas para seu aplicativo, mostradas posteriormente neste artigo, para concluir a configuração.
Os dispositivos dos quais você coleta logs de texto personalizados se enquadram em duas categorias:
Aplicativos instalados em máquinas Windows ou Linux
O aplicativo armazena seus arquivos de log no computador em que está instalado. Para coletar esses logs, o Agente do Azure Monitor é instalado nesse mesmo computador.
Dispositivos independentes em dispositivos fechados (geralmente baseados em Linux)
Esses dispositivos armazenam seus logs em um servidor syslog externo. Para coletar esses logs, o Agente do Azure Monitor é instalado nesse servidor syslog externo, geralmente chamado de encaminhador de log.
Para obter mais informações sobre a solução do Microsoft Sentinel relacionada para cada um desses aplicativos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução no hub de conteúdo no Microsoft Sentinel.
Importante
No momento, o conector de dados Logs Personalizados via AMA está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
-
O Microsoft Sentinel está disponível na plataforma de operações de segurança unificadas da Microsoft no portal do Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Instruções gerais
As etapas para coletar logs de máquinas que hospedam aplicativos e dispositivos seguem um padrão geral:
Crie a tabela de destino no Log Analytics (ou Busca Avançada de Ameaças se estiver no portal do Defender).
Crie a regra de coleta de dados (DCR) para seu aplicativo ou dispositivo.
Implante o Agente do Azure Monitor no computador que hospeda o aplicativo ou no servidor externo (encaminhador de logs) que coleta logs de dispositivos se ele ainda não estiver implantado.
Configure o registro em log em seu aplicativo. Se for um dispositivo, configure-o para enviar seus logs para o servidor externo (encaminhador de logs) em que o Agente do Azure Monitor está instalado.
Essas etapas gerais (exceto a última) são automatizadas quando você usa os Logs Personalizados por meio do conector de dados AMA e são descritas em detalhes em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Instruções específicas por tipo de aplicação
As informações por aplicativo necessárias para concluir essas etapas são apresentadas no restante deste artigo. Alguns desses aplicativos estão em dispositivos independentes e exigem um tipo diferente de configuração, começando com o uso de um encaminhador de log.
Cada seção de inscrição contém as seguintes informações:
- Parâmetros exclusivos a serem fornecidos para a configuração dos Logs Personalizados por meio do conector de dados AMA , se você estiver usando-o.
- O esboço do procedimento necessário para ingerir dados manualmente, sem usar o conector. Para obter os detalhes desse procedimento, consulte Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
- Instruções específicas para configurar os próprios aplicativos ou dispositivos de origem e/ou links para as instruções nos sites dos provedores. Essas etapas devem ser executadas usando o conector ou não.
Apache HTTP Server
Siga estas etapas para ingerir mensagens de log do Apache HTTP Server:
Nome da tabela:
ApacheHTTPServer_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"C:\Server\bin\log\Apache24\logs\*.log"
- Linux:
"/var/log/httpd/*.log"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Apache Tomcat
Siga estas etapas para ingerir mensagens de log do Apache Tomcat:
Nome da tabela:
Tomcat_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Linux:
"/var/log/tomcat/*.log"
- Linux:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Cisco Meraki
Siga estas etapas para ingerir mensagens de log do Cisco Meraki:
Nome da tabela:
meraki_CL
Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado
{LOCAL_PATH_FILE}
no DCR.Configure o daemon syslog para exportar suas mensagens de log Meraki para um arquivo de texto temporário para que o AMA possa coletá-las.
Crie um arquivo de configuração personalizado para o daemon rsyslog e salve-o no
/etc/rsyslog.d/10-meraki.conf
. Adicione as seguintes condições de filtragem a este arquivo de configuração:if $rawmsg contains "flows" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "urls" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ids-alerts" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "events" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_start" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_end" then { action(type="omfile" file="<LOG_FILE_Name>") stop }
(Substitua
<LOG_FILE_Name>
pelo nome do arquivo de log que você criou.)Para saber mais sobre condições de filtragem para rsyslog, consulte rsyslog: Condições de filtro. Recomendamos testar e modificar a configuração com base em sua instalação específica.
Reinicie o rsyslog. A sintaxe de comando típica é
systemctl restart rsyslog
.
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua o nome
"RawData"
da coluna pelo nome"Message"
da coluna .Substitua o valor
"source"
transformKql pelo valor"source | project-rename Message=RawData"
.Substitua os
{TABLE_NAME}
espaços reservados e{LOCAL_PATH_FILE}
no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.
Configure e conecte o(s) dispositivo(s) Cisco Meraki: siga as instruções fornecidas pela Cisco para enviar mensagens de syslog. Use o endereço IP ou o nome do host da máquina virtual em que o Agente do Azure Monitor está instalado.
JBoss Enterprise Application Platform
Siga estas etapas para ingerir mensagens de log do JBoss Enterprise Application Platform:
Nome da tabela:
JBossLogs_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns") - somente Linux:
- Servidor autônomo:
"{EAP_HOME}/standalone/log/server.log"
- Domínio gerenciado:
"{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
- Servidor autônomo:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
JuniperIDP
Siga estas etapas para ingerir mensagens de log do JuniperIDP:
Nome da tabela:
JuniperIDP_CL
Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado
{LOCAL_PATH_FILE}
no DCR.Configure o daemon syslog para exportar suas mensagens de log JuniperIDP para um arquivo de texto temporário para que o AMA possa coletá-las.
Crie um arquivo de configuração personalizado para o daemon rsyslog, na
/etc/rsyslog.d/
pasta, com as seguintes condições de filtragem:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Substitua
<parameters>
pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)Reinicie o rsyslog. A sintaxe de comando típica é
systemctl restart rsyslog
.
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua o nome
"RawData"
da coluna pelo nome"Message"
da coluna .Substitua os
{TABLE_NAME}
espaços reservados e{LOCAL_PATH_FILE}
no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.Substitua o valor
"source"
transformKql pela seguinte consulta Kusto (entre aspas duplas):source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.
Para obter as instruções para configurar o dispositivo Juniper IDP para enviar mensagens syslog para um servidor externo, consulte Introdução ao SRX - Configurar o registro do sistema.
MarkLogic Audit
Siga estas etapas para ingerir mensagens de log do MarkLogic Audit:
Nome da tabela:
MarkLogicAudit_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
- Linux:
"/var/opt/MarkLogic/Logs/AuditLog.txt"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Configure o MarkLogic Audit para permitir que ele grave logs: (da documentação do MarkLogic)
- Usando seu navegador, navegue até a interface de administração do MarkLogic.
- Abra a tela Configuração de auditoria em Grupos > group_name > Auditoria.
- Marque o botão de opção Auditoria ativada. Verifique se ele está habilitado.
- Configure o evento de auditoria e/ou as restrições desejadas.
- Valide selecionando OK.
- Consulte a documentação do MarkLogic para obter mais detalhes e opções de configuração.
Auditoria do MongoDB
Siga estas etapas para ingerir mensagens de log da Auditoria do MongoDB:
Nome da tabela:
MongoDBAudit_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"C:\data\db\auditlog.json"
- Linux:
"/data/db/auditlog.json"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Configure o MongoDB para gravar logs:
- No Windows, edite o arquivo
mongod.cfg
de configuração . Para Linux,mongod.conf
. - Defina o parâmetro de
dbpath
adata/db
. - Defina o parâmetro de
path
a/data/db/auditlog.json
. - Consulte a documentação do MongoDB para obter mais parâmetros e detalhes.
- No Windows, edite o arquivo
NGINX HTTP Server
Siga estas etapas para ingerir mensagens de log do NGINX HTTP Server:
Nome da tabela:
NGINX_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Linux:
"/var/log/nginx.log"
- Linux:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Oracle WebLogic Server
Siga estas etapas para ingerir mensagens de log do Oracle WebLogic Server:
Nome da tabela:
OracleWebLogicServer_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
- Linux:
"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
PostgreSQL Events
Siga estas etapas para ingerir mensagens de log do PostgreSQL Events:
Nome da tabela:
PostgreSQL_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"C:\*.log"
- Linux:
"/var/log/*.log"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Edite o arquivo
postgresql.conf
de configuração de eventos do PostgreSQL para gerar logs para arquivos.- Defina
log_destination='stderr'
- Defina
logging_collector=on
- Consulte a documentação do PostgreSQL para obter mais parâmetros e detalhes.
- Defina
SecurityBridge Threat Detection for SAP
Siga estas etapas para ingerir mensagens de log do SecurityBridge Threat Detection for SAP:
Nome da tabela:
SecurityBridgeLogs_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Linux:
"/usr/sap/tmp/sb_events/*.cef"
- Linux:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
SquidProxy
Siga estas etapas para ingerir mensagens de log do SquidProxy:
Nome da tabela:
SquidProxy_CL
Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.
Locais de arquivo padrão ("filePatterns"):
- Windows:
"C:\Squid\var\log\squid\*.log"
- Linux:
"/var/log/squid/*.log"
- Windows:
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Ubiquiti UniFi
Siga estas etapas para ingerir mensagens de log do Ubiquiti UniFi:
Nome da tabela:
Ubiquiti_CL
Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado
{LOCAL_PATH_FILE}
no DCR.Configure o daemon syslog para exportar suas mensagens de log Ubiquiti para um arquivo de texto temporário para que o AMA possa coletá-los.
Crie um arquivo de configuração personalizado para o daemon rsyslog, na
/etc/rsyslog.d/
pasta, com as seguintes condições de filtragem:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Substitua
<parameters>
pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)Reinicie o rsyslog. A sintaxe de comando típica é
systemctl restart rsyslog
.
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua o nome
"RawData"
da coluna pelo nome"Message"
da coluna .Substitua o valor
"source"
transformKql pelo valor"source | project-rename Message=RawData"
.Substitua os
{TABLE_NAME}
espaços reservados e{LOCAL_PATH_FILE}
no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.
Configure e conecte o controlador Ubiquiti.
- Siga as instruções fornecidas pela Ubiquiti para habilitar o syslog e, opcionalmente, os logs de depuração.
- Selecione Configurações > Configurações > do sistema Configuração > do controlador Registro remoto e ative o syslog.
VMware Vcenter
Siga estas etapas para ingerir mensagens de log do VMware vCenter:
Nome da tabela:
vcenter_CL
Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado
{LOCAL_PATH_FILE}
no DCR.Configure o daemon syslog para exportar suas mensagens de log do vCenter para um arquivo de texto temporário para que o AMA possa coletá-las.
Edite o arquivo
/etc/rsyslog.conf
de configuração para adicionar a seguinte linha de modelo antes da seção de diretiva :$template vcenter,"%timestamp% %hostname% %msg%\ n"
Crie um arquivo de configuração customizado para o daemon rsyslog, salvo com
/etc/rsyslog.d/10-vcenter.conf
as seguintes condições de filtragem:if $rawmsg contains "vpxd" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop } if $rawmsg contains "vcenter-server" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop }
(Substitua
<LOG_FILE_NAME>
pelo nome do arquivo de log que você criou.)Reinicie o rsyslog. A sintaxe de comando típica é
sudo systemctl restart rsyslog
.
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua o nome
"RawData"
da coluna pelo nome"Message"
da coluna .Substitua o valor
"source"
transformKql pelo valor"source | project-rename Message=RawData"
.Substitua os
{TABLE_NAME}
espaços reservados e{LOCAL_PATH_FILE}
no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.dataCollectionEndpointId deve ser preenchido com seu DCE. Se você não tiver um, defina um novo. Consulte Criar um ponto de extremidade de coleta de dados para obter as instruções.
Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.
Configure e conecte os dispositivos vCenter.
- Siga as instruções fornecidas pela VMware para enviar mensagens syslog.
- Use o endereço IP ou o nome do host do computador em que o Agente do Azure Monitor está instalado.
Zscaler Private Access (ZPA)
Siga estas etapas para ingerir mensagens de log do Zscaler Private Access (ZPA):
Nome da tabela:
ZPA_CL
Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado
{LOCAL_PATH_FILE}
no DCR.Configure o daemon syslog para exportar suas mensagens de log ZPA para um arquivo de texto temporário para que o AMA possa coletá-las.
Crie um arquivo de configuração personalizado para o daemon rsyslog, na
/etc/rsyslog.d/
pasta, com as seguintes condições de filtragem:# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(Substitua
<parameters>
pelos nomes reais dos objetos representados.)Reinicie o rsyslog. A sintaxe de comando típica é
systemctl restart rsyslog
.
Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
Substitua o nome
"RawData"
da coluna pelo nome"Message"
da coluna .Substitua o valor
"source"
transformKql pelo valor"source | project-rename Message=RawData"
.Substitua os
{TABLE_NAME}
espaços reservados e{LOCAL_PATH_FILE}
no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.
Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.
Configure e conecte o receptor ZPA.
- Siga as instruções fornecidas pela ZPA. Selecione JSON como o modelo de log.
- Selecione Configurações > Configurações > do sistema Configuração > do controlador Registro remoto e ative o syslog.