Compartilhar via


Conector de dados Logs Personalizados via AMA: configurar a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos

Os Logs Personalizados do Microsoft Sentinel por meio do conector de dados AMA dão suporte à coleta de logs de arquivos de texto de vários aplicativos e dispositivos de rede e segurança diferentes.

Este artigo fornece as informações de configuração, exclusivas para cada aplicativo de segurança específico, que você precisa fornecer ao configurar esse conector de dados. Essas informações são fornecidas pelos provedores de aplicativos. Entre em contato com o provedor para obter atualizações, obter mais informações ou quando as informações não estiverem disponíveis para seu aplicativo de segurança. Para obter as instruções completas sobre como instalar e configurar o conector, consulte Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel, mas consulte este artigo para obter as informações exclusivas a serem fornecidas para cada aplicativo.

Este artigo também mostra como ingerir dados desses aplicativos no workspace do Microsoft Sentinel sem usar o conector. Essas etapas incluem a instalação do Agente do Azure Monitor. Depois que o conector for instalado, use as instruções apropriadas para seu aplicativo, mostradas posteriormente neste artigo, para concluir a configuração.

Os dispositivos dos quais você coleta logs de texto personalizados se enquadram em duas categorias:

  • Aplicativos instalados em máquinas Windows ou Linux

    O aplicativo armazena seus arquivos de log no computador em que está instalado. Para coletar esses logs, o Agente do Azure Monitor é instalado nesse mesmo computador.

  • Dispositivos independentes em dispositivos fechados (geralmente baseados em Linux)

    Esses dispositivos armazenam seus logs em um servidor syslog externo. Para coletar esses logs, o Agente do Azure Monitor é instalado nesse servidor syslog externo, geralmente chamado de encaminhador de log.

Para obter mais informações sobre a solução do Microsoft Sentinel relacionada para cada um desses aplicativos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução no hub de conteúdo no Microsoft Sentinel.

Importante

  • No momento, o conector de dados Logs Personalizados via AMA está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

  • O Microsoft Sentinel está disponível na plataforma de operações de segurança unificadas da Microsoft no portal do Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Instruções gerais

As etapas para coletar logs de máquinas que hospedam aplicativos e dispositivos seguem um padrão geral:

  1. Crie a tabela de destino no Log Analytics (ou Busca Avançada de Ameaças se estiver no portal do Defender).

  2. Crie a regra de coleta de dados (DCR) para seu aplicativo ou dispositivo.

  3. Implante o Agente do Azure Monitor no computador que hospeda o aplicativo ou no servidor externo (encaminhador de logs) que coleta logs de dispositivos se ele ainda não estiver implantado.

  4. Configure o registro em log em seu aplicativo. Se for um dispositivo, configure-o para enviar seus logs para o servidor externo (encaminhador de logs) em que o Agente do Azure Monitor está instalado.

Essas etapas gerais (exceto a última) são automatizadas quando você usa os Logs Personalizados por meio do conector de dados AMA e são descritas em detalhes em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

Instruções específicas por tipo de aplicação

As informações por aplicativo necessárias para concluir essas etapas são apresentadas no restante deste artigo. Alguns desses aplicativos estão em dispositivos independentes e exigem um tipo diferente de configuração, começando com o uso de um encaminhador de log.

Cada seção de inscrição contém as seguintes informações:

  • Parâmetros exclusivos a serem fornecidos para a configuração dos Logs Personalizados por meio do conector de dados AMA , se você estiver usando-o.
  • O esboço do procedimento necessário para ingerir dados manualmente, sem usar o conector. Para obter os detalhes desse procedimento, consulte Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.
  • Instruções específicas para configurar os próprios aplicativos ou dispositivos de origem e/ou links para as instruções nos sites dos provedores. Essas etapas devem ser executadas usando o conector ou não.

Apache HTTP Server

Siga estas etapas para ingerir mensagens de log do Apache HTTP Server:

  1. Nome da tabela: ApacheHTTPServer_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

Apache Tomcat

Siga estas etapas para ingerir mensagens de log do Apache Tomcat:

  1. Nome da tabela: Tomcat_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

Cisco Meraki

Siga estas etapas para ingerir mensagens de log do Cisco Meraki:

  1. Nome da tabela: meraki_CL

  2. Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log Meraki para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog e salve-o no /etc/rsyslog.d/10-meraki.conf. Adicione as seguintes condições de filtragem a este arquivo de configuração:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Substitua <LOG_FILE_Name> pelo nome do arquivo de log que você criou.)

      Para saber mais sobre condições de filtragem para rsyslog, consulte rsyslog: Condições de filtro. Recomendamos testar e modificar a configuração com base em sua instalação específica.

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  5. Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.

  6. Configure e conecte o(s) dispositivo(s) Cisco Meraki: siga as instruções fornecidas pela Cisco para enviar mensagens de syslog. Use o endereço IP ou o nome do host da máquina virtual em que o Agente do Azure Monitor está instalado.

Voltar ao início

JBoss Enterprise Application Platform

Siga estas etapas para ingerir mensagens de log do JBoss Enterprise Application Platform:

  1. Nome da tabela: JBossLogs_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns") - somente Linux:

    • Servidor autônomo: "{EAP_HOME}/standalone/log/server.log"
    • Domínio gerenciado: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

JuniperIDP

Siga estas etapas para ingerir mensagens de log do JuniperIDP:

  1. Nome da tabela: JuniperIDP_CL

  2. Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log JuniperIDP para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na /etc/rsyslog.d/ pasta, com as seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

    • Substitua o valor "source" transformKql pela seguinte consulta Kusto (entre aspas duplas):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
      
  5. Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.

  6. Para obter as instruções para configurar o dispositivo Juniper IDP para enviar mensagens syslog para um servidor externo, consulte Introdução ao SRX - Configurar o registro do sistema.

Voltar ao início

MarkLogic Audit

Siga estas etapas para ingerir mensagens de log do MarkLogic Audit:

  1. Nome da tabela: MarkLogicAudit_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  4. Configure o MarkLogic Audit para permitir que ele grave logs: (da documentação do MarkLogic)

    1. Usando seu navegador, navegue até a interface de administração do MarkLogic.
    2. Abra a tela Configuração de auditoria em Grupos > group_name > Auditoria.
    3. Marque o botão de opção Auditoria ativada. Verifique se ele está habilitado.
    4. Configure o evento de auditoria e/ou as restrições desejadas.
    5. Valide selecionando OK.
    6. Consulte a documentação do MarkLogic para obter mais detalhes e opções de configuração.

Voltar ao início

Auditoria do MongoDB

Siga estas etapas para ingerir mensagens de log da Auditoria do MongoDB:

  1. Nome da tabela: MongoDBAudit_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  4. Configure o MongoDB para gravar logs:

    1. No Windows, edite o arquivo mongod.cfgde configuração . Para Linux, mongod.conf.
    2. Defina o parâmetro de dbpath a data/db.
    3. Defina o parâmetro de path a /data/db/auditlog.json.
    4. Consulte a documentação do MongoDB para obter mais parâmetros e detalhes.

Voltar ao início

NGINX HTTP Server

Siga estas etapas para ingerir mensagens de log do NGINX HTTP Server:

  1. Nome da tabela: NGINX_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/var/log/nginx.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

Oracle WebLogic Server

Siga estas etapas para ingerir mensagens de log do Oracle WebLogic Server:

  1. Nome da tabela: OracleWebLogicServer_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

PostgreSQL Events

Siga estas etapas para ingerir mensagens de log do PostgreSQL Events:

  1. Nome da tabela: PostgreSQL_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  4. Edite o arquivo postgresql.conf de configuração de eventos do PostgreSQL para gerar logs para arquivos.

    1. Defina log_destination='stderr'
    2. Defina logging_collector=on
    3. Consulte a documentação do PostgreSQL para obter mais parâmetros e detalhes.

Voltar ao início

SecurityBridge Threat Detection for SAP

Siga estas etapas para ingerir mensagens de log do SecurityBridge Threat Detection for SAP:

  1. Nome da tabela: SecurityBridgeLogs_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

SquidProxy

Siga estas etapas para ingerir mensagens de log do SquidProxy:

  1. Nome da tabela: SquidProxy_CL

  2. Local de armazenamento de logs: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

Voltar ao início

Ubiquiti UniFi

Siga estas etapas para ingerir mensagens de log do Ubiquiti UniFi:

  1. Nome da tabela: Ubiquiti_CL

  2. Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log Ubiquiti para um arquivo de texto temporário para que o AMA possa coletá-los.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na /etc/rsyslog.d/ pasta, com as seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  5. Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.

  6. Configure e conecte o controlador Ubiquiti.

    1. Siga as instruções fornecidas pela Ubiquiti para habilitar o syslog e, opcionalmente, os logs de depuração.
    2. Selecione Configurações > Configurações > do sistema Configuração > do controlador Registro remoto e ative o syslog.

Voltar ao início

VMware Vcenter

Siga estas etapas para ingerir mensagens de log do VMware vCenter:

  1. Nome da tabela: vcenter_CL

  2. Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log do vCenter para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Edite o arquivo /etc/rsyslog.conf de configuração para adicionar a seguinte linha de modelo antes da seção de diretiva :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Crie um arquivo de configuração customizado para o daemon rsyslog, salvo com /etc/rsyslog.d/10-vcenter.conf as seguintes condições de filtragem:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Substitua <LOG_FILE_NAME> pelo nome do arquivo de log que você criou.)

    3. Reinicie o rsyslog. A sintaxe de comando típica é sudo systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

    • dataCollectionEndpointId deve ser preenchido com seu DCE. Se você não tiver um, defina um novo. Consulte Criar um ponto de extremidade de coleta de dados para obter as instruções.

  5. Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.

  6. Configure e conecte os dispositivos vCenter.

    1. Siga as instruções fornecidas pela VMware para enviar mensagens syslog.
    2. Use o endereço IP ou o nome do host do computador em que o Agente do Azure Monitor está instalado.

Voltar ao início

Zscaler Private Access (ZPA)

Siga estas etapas para ingerir mensagens de log do Zscaler Private Access (ZPA):

  1. Nome da tabela: ZPA_CL

  2. Local de armazenamento de logs: crie um arquivo de log no servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ele ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log ZPA para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na /etc/rsyslog.d/ pasta, com as seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Agente do Azure Monitor e ingerir no Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme as instruções.

  5. Configure o computador em que o Agente do Azure Monitor está instalado para abrir as portas do syslog e configure o daemon do syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de logs para aceitar logs.

  6. Configure e conecte o receptor ZPA.

    1. Siga as instruções fornecidas pela ZPA. Selecione JSON como o modelo de log.
    2. Selecione Configurações > Configurações > do sistema Configuração > do controlador Registro remoto e ative o syslog.

Voltar ao início