Planera för common event format connector

  • 6 minuter

CEF Connector distribuerar en Syslog Forwarder-server för att stödja kommunikationen mellan installationen och Microsoft Sentinel. Servern består av en dedikerad Linux-dator med Log Analytics-agenten för Linux installerad. Många av Microsoft Sentinel Data Connectors som är leverantörsspecifika använder CEF Connector.

Följande diagram visar konfigurationen för en virtuell Linux-dator i Azure. De lokala Syslog-källorna skickar händelser på ett säkert sätt till en virtuell Azure Linux-dator. Den virtuella Linux-datorn med Log Analytics-agenten installerad vidarebefordrar sedan loggarna till Microsoft Sentinel-arbetsytan.

Diagram över den virtuella Azure-dator som är värd för Syslog-anslutningsarkitekturen.

I följande diagram visas även konfigurationen om du använder en virtuell dator i ett annat moln eller en lokal dator. De lokala Syslog-källorna skickar händelser på ett säkert sätt till en virtuell Linux-dator. Den virtuella Linux-datorn med Log Analytics-agenten installerad vidarebefordrar sedan loggarna till Microsoft Sentinel-arbetsytan på ett säkert sätt.

Diagram över den lokala Syslog-anslutningsarkitekturen.

Säkerhetsfrågor

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Du kan till exempel konfigurera nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra daemonens portar och protokoll så att de överensstämmer med dina krav.

Om du vill använda TLS-kommunikation mellan Syslog-källan och Syslog-vidarebefordraren måste du konfigurera Syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS.

Förutsättningar

Kontrollera att den Linux-dator som du använder som loggvidare kör något av följande operativsystem:

  • 64-bitars

    • Amazon Linux 2017.09

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 och 8, inklusive mindre versioner (inte 6)

    • Debian GNU/Linux 8 och 9

    • Ubuntu Linux 14.04 LTS, 16.04 LTS och 18.04 LTS

    • SUSE Linux Enterprise Server 12, 15

  • 32-bitars

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 och 8, inklusive mindre versioner (inte 6)

    • Debian GNU/Linux 8 och 9

    • Ubuntu Linux 14.04 LTS och 16.04 LTS

  • Daemonversioner

    • Syslog-ng: 2.1 - 3.22.1

    • Rsyslog: v8

  • Syslog RFCs stöds

    • Syslog RFC 3164

    • Syslog RFC 5424

Kontrollera att datorn också uppfyller följande krav:

Behörigheter

  • Du måste ha utökade behörigheter (sudo) på datorn.

Programvarukrav

  • Kontrollera att python 2.7 eller 3 körs på datorn.