Partilhar via


Logs personalizados via conector de dados AMA - Configure a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos

Os Logs Personalizados do Microsoft Sentinel via conector de dados AMA suportam a coleta de logs de arquivos de texto de vários aplicativos e dispositivos de rede e segurança diferentes.

Este artigo fornece as informações de configuração, exclusivas para cada aplicativo de segurança específico, que você precisa fornecer ao configurar esse conector de dados. Essas informações são fornecidas pelos provedores de aplicativos. Entre em contato com o provedor para obter atualizações, obter mais informações ou quando as informações não estiverem disponíveis para seu aplicativo de segurança. Para obter as instruções completas para instalar e configurar o conector, consulte Coletar logs de arquivos de texto com o Azure Monitor Agent e ingerir no Microsoft Sentinel, mas consulte este artigo para obter as informações exclusivas a serem fornecidas para cada aplicativo.

Este artigo também mostra como ingerir dados desses aplicativos para seu espaço de trabalho do Microsoft Sentinel sem usar o conector. Essas etapas incluem a instalação do Azure Monitor Agent. Depois que o conector for instalado, use as instruções apropriadas ao seu aplicativo, mostradas posteriormente neste artigo, para concluir a configuração.

Os dispositivos dos quais você coleta logs de texto personalizados se enquadram em duas categorias:

  • Aplicações instaladas em máquinas Windows ou Linux

    O aplicativo armazena seus arquivos de log na máquina onde está instalado. Para coletar esses logs, o Azure Monitor Agent é instalado nessa mesma máquina.

  • Dispositivos que são independentes em dispositivos fechados (geralmente baseados em Linux)

    Esses appliances armazenam seus logs em um servidor syslog externo. Para coletar esses logs, o Azure Monitor Agenté instalado nesse servidor syslog externo, geralmente chamado de encaminhador de log.

Para obter mais informações sobre a solução Microsoft Sentinel relacionada para cada um desses aplicativos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou revise a solução do hub de Conteúdo no Microsoft Sentinel.

Importante

  • Os logs personalizados via conector de dados AMA estão atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

  • O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Instruções gerais

As etapas para coletar logs de máquinas que hospedam aplicativos e dispositivos seguem um padrão geral:

  1. Crie a tabela de destino no Log Analytics (ou Advanced Hunting se estiver no portal do Defender).

  2. Crie a regra de coleta de dados (DCR) para seu aplicativo ou dispositivo.

  3. Implante o Agente do Azure Monitor na máquina que hospeda o aplicativo ou no servidor externo (encaminhador de log) que coleta logs de dispositivos, se ainda não estiver implantado.

  4. Configure o registro em log em seu aplicativo. Se for um dispositivo, configure-o para enviar seus logs para o servidor externo (encaminhador de log) onde o Azure Monitor Agent está instalado.

Essas etapas gerais (exceto a última) são automatizadas quando você usa os Logs Personalizados por meio do conector de dados AMA e são descritas em detalhes em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingerir no Microsoft Sentinel.

Instruções específicas por tipo de aplicação

As informações por aplicativo necessárias para concluir essas etapas são apresentadas no restante deste artigo. Alguns desses aplicativos estão em dispositivos autônomos e exigem um tipo diferente de configuração, começando com o uso de um encaminhador de log.

Cada secção de aplicação contém as seguintes informações:

  • Parâmetros exclusivos para fornecer à configuração dos logs personalizados via conector de dados AMA , se você estiver usando.
  • O esboço do procedimento necessário para ingerir dados manualmente, sem usar o conector. Para obter os detalhes deste procedimento, consulte Coletar logs de arquivos de texto com o Azure Monitor Agent e ingerir para o Microsoft Sentinel.
  • Instruções específicas para configurar os próprios aplicativos ou dispositivos de origem e/ou links para as instruções nos sites dos provedores. Essas etapas devem ser tomadas usando o conector ou não.

Servidor HTTP Apache

Siga estas etapas para ingerir mensagens de log do Apache HTTP Server:

  1. Nome da tabela: ApacheHTTPServer_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

Apache Tomcat

Siga estas etapas para ingerir mensagens de log do Apache Tomcat:

  1. Nome da tabela: Tomcat_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

Cisco Meraki

Siga estas etapas para ingerir mensagens de log do Cisco Meraki:

  1. Nome da tabela: meraki_CL

  2. Local de armazenamento de log: crie um arquivo de log em seu servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log Meraki para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog e salve-o no /etc/rsyslog.d/10-meraki.conf. Adicione as seguintes condições de filtragem a este arquivo de configuração:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Substitua <LOG_FILE_Name> pelo nome do arquivo de log que você criou.)

      Para saber mais sobre as condições de filtragem para rsyslog, consulte rsyslog: condições de filtro. Recomendamos testar e modificar a configuração com base na sua instalação específica.

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  5. Configure a máquina onde o Agente do Azure Monitor está instalado para abrir as portas syslog e configure o daemon syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de log para aceitar logs.

  6. Configure e conecte o(s) dispositivo(s) Cisco Meraki: siga as instruções fornecidas pela Cisco para enviar mensagens syslog. Use o endereço IP ou o nome do host da máquina virtual onde o Agente do Azure Monitor está instalado.

Voltar ao início

Plataforma de aplicativos corporativos JBoss

Siga estas etapas para ingerir mensagens de log do JBoss Enterprise Application Platform:

  1. Nome da tabela: JBossLogs_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivos padrão ("filePatterns") - somente Linux:

    • Servidor autônomo: "{EAP_HOME}/standalone/log/server.log"
    • Domínio gerenciado: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

JuniperIDP

Siga estas etapas para ingerir mensagens de log do JuniperIDP:

  1. Nome da tabela: JuniperIDP_CL

  2. Local de armazenamento de log: crie um arquivo de log em seu servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log JuniperIDP para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na pasta, com as /etc/rsyslog.d/ seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

    • Substitua o valor "source" transformKql pela seguinte consulta Kusto (entre aspas duplas):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
      
  5. Configure a máquina onde o Agente do Azure Monitor está instalado para abrir as portas syslog e configure o daemon syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de log para aceitar logs.

  6. Para obter instruções sobre como configurar o dispositivo Juniper IDP para enviar mensagens syslog para um servidor externo, consulte SRX Getting Started - Configure System Logging..

Voltar ao início

Auditoria MarkLogic

Siga estas etapas para ingerir mensagens de log do MarkLogic Audit:

  1. Nome da tabela: MarkLogicAudit_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  4. Configure o MarkLogic Audit para permitir que ele escreva logs: (da documentação do MarkLogic)

    1. Usando seu navegador, navegue até a interface MarkLogic Admin.
    2. Abra a tela Configuração de auditoria em Grupos > group_name > auditoria.
    3. Marque o botão de opção Auditoria habilitada. Garanta que está ativada.
    4. Configure o evento de auditoria e/ou as restrições desejadas.
    5. Valide selecionando OK.
    6. Consulte a documentação do MarkLogic para obter mais detalhes e opções de configuração.

Voltar ao início

Auditoria MongoDB

Siga estas etapas para ingerir mensagens de log do MongoDB Audit:

  1. Nome da tabela: MongoDBAudit_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  4. Configure o MongoDB para gravar logs:

    1. Para Windows, edite o arquivo de mongod.cfgconfiguração . Para Linux, mongod.conf.
    2. Defina o dbpath parâmetro como data/db.
    3. Defina o path parâmetro como /data/db/auditlog.json.
    4. Consulte a documentação do MongoDB para obter mais parâmetros e detalhes.

Voltar ao início

Servidor HTTP NGINX

Siga estas etapas para ingerir mensagens de log do NGINX HTTP Server:

  1. Nome da tabela: NGINX_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/var/log/nginx.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

Oracle WebLogic Server

Siga estas etapas para ingerir mensagens de log do Oracle WebLogic Server:

  1. Nome da tabela: OracleWebLogicServer_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

Eventos PostgreSQL

Siga estas etapas para ingerir mensagens de log de eventos do PostgreSQL:

  1. Nome da tabela: PostgreSQL_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  4. Edite o arquivo de postgresql.conf configuração de Eventos PostgreSQL para gerar logs para arquivos.

    1. Conjunto log_destination='stderr'
    2. Conjunto logging_collector=on
    3. Consulte a documentação do PostgreSQL para obter mais parâmetros e detalhes.

Voltar ao início

Deteção de ameaças do SecurityBridge para SAP

Siga estas etapas para ingerir mensagens de log do SecurityBridge Threat Detection for SAP:

  1. Nome da tabela: SecurityBridgeLogs_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

SquidProxy

Siga estas etapas para ingerir mensagens de log do SquidProxy:

  1. Nome da tabela: SquidProxy_CL

  2. Local de armazenamento de log: os logs são armazenados como arquivos de texto na máquina host do aplicativo. Instale o AMA na mesma máquina para coletar os arquivos.

    Locais de arquivo padrão ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"
  3. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    Substitua os espaços reservados {TABLE_NAME} e {LOCAL_PATH_FILE} no modelo DCR pelos valores das etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

Voltar ao início

Ubiquiti UniFi

Siga estas etapas para ingerir mensagens de log do Ubiquiti UniFi:

  1. Nome da tabela: Ubiquiti_CL

  2. Local de armazenamento de log: crie um arquivo de log em seu servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log Ubiquiti para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na pasta, com as /etc/rsyslog.d/ seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados. <> LOG_FILE_NAME é o arquivo que você criou na etapa 2.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  5. Configure a máquina onde o Agente do Azure Monitor está instalado para abrir as portas syslog e configure o daemon syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de log para aceitar logs.

  6. Configure e conecte o controlador Ubiquiti.

    1. Siga as instruções fornecidas pela Ubiquiti para ativar o syslog e, opcionalmente, depurar logs.
    2. Selecione Configurações, > Configurações > do Sistema, Configuração do Controlador, Registro > Remoto e habilite o syslog.

Voltar ao início

VMware vCenter [en]

Siga estas etapas para ingerir mensagens de log do VMware vCenter:

  1. Nome da tabela: vcenter_CL

  2. Local de armazenamento de log: crie um arquivo de log em seu servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log do vCenter para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Edite o arquivo de /etc/rsyslog.conf configuração para adicionar a seguinte linha de modelo antes da seção de diretiva :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Crie um arquivo de configuração personalizado para o daemon rsyslog, salvo como /etc/rsyslog.d/10-vcenter.conf com as seguintes condições de filtragem:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Substitua <LOG_FILE_NAME> pelo nome do arquivo de log que você criou.)

    3. Reinicie o rsyslog. A sintaxe de comando típica é sudo systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

    • dataCollectionEndpointId deve ser preenchido com seu DCE. Se você não tiver um, defina um novo. Consulte Criar um ponto de extremidade de coleta de dados para obter instruções.

  5. Configure a máquina onde o Agente do Azure Monitor está instalado para abrir as portas syslog e configure o daemon syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de log para aceitar logs.

  6. Configure e conecte os dispositivos vCenter.

    1. Siga as instruções fornecidas pelo VMware para enviar mensagens syslog.
    2. Use o endereço IP ou o nome do host da máquina onde o Agente do Azure Monitor está instalado.

Voltar ao início

Zscaler Private Access (ZPA)

Siga estes passos para ingerir mensagens de registo a partir do Zscaler Private Access (ZPA):

  1. Nome da tabela: ZPA_CL

  2. Local de armazenamento de log: crie um arquivo de log em seu servidor syslog externo. Conceda permissões de gravação do daemon syslog ao arquivo. Instale o AMA no servidor syslog externo, se ainda não estiver instalado. Insira esse nome de arquivo e caminho no campo Padrão de arquivo no conector ou no lugar do espaço reservado {LOCAL_PATH_FILE} no DCR.

  3. Configure o daemon syslog para exportar suas mensagens de log ZPA para um arquivo de texto temporário para que o AMA possa coletá-las.

    1. Crie um arquivo de configuração personalizado para o daemon rsyslog, na pasta, com as /etc/rsyslog.d/ seguintes condições de filtragem:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Substitua <parameters> pelos nomes reais dos objetos representados.)

    2. Reinicie o rsyslog. A sintaxe de comando típica é systemctl restart rsyslog.

  4. Crie o DCR de acordo com as instruções em Coletar logs de arquivos de texto com o Azure Monitor Agent e ingira ao Microsoft Sentinel.

    • Substitua o nome "RawData" da coluna pelo nome "Message"da coluna .

    • Substitua o valor "source" transformKql pelo valor "source | project-rename Message=RawData".

    • Substitua os {TABLE_NAME} espaços reservados e {LOCAL_PATH_FILE} no modelo DCR pelos valores nas etapas 1 e 2. Substitua os outros espaços reservados conforme indicado.

  5. Configure a máquina onde o Agente do Azure Monitor está instalado para abrir as portas syslog e configure o daemon syslog para aceitar mensagens de fontes externas. Para obter instruções detalhadas e um script para automatizar essa configuração, consulte Configurar o encaminhador de log para aceitar logs.

  6. Configure e conecte o recetor ZPA.

    1. Siga as instruções fornecidas pelo ZPA. Selecione JSON como o modelo de log.
    2. Selecione Configurações, > Configurações > do Sistema, Configuração do Controlador, Registro > Remoto e habilite o syslog.

Voltar ao início