你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Automated Logic WebCTRL 连接器
可以从连接到 Microsoft Sentinel 的 Windows 计算机上托管的 WebCTRL SQL 服务器流式传输审核日志。 可以通过此连接查看仪表板、创建自定义警报和改进调查。 这样可以深入了解由 WebCTRL BAS 应用程序监视或控制的工业控制系统。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | 事件 (AutomatedLogic-WebCTRL) |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
应用程序引发的警告和错误总数
Event
| where Source == "ALCWebCTRL"
| where EventLevel in (1,2,3)
供应商安装说明
- 安装并加入适用于 Windows 的 Microsoft 代理。
了解代理安装和 Windows 事件加入。
如果已安装适用于 Windows 的 Microsoft 代理,则可跳过此步骤
- 配置 Windows 任务以读取审核数据并将其写入 Windows 事件
安装并配置 Windows 计划任务,以读取 SQL 中的审核日志并将其作为 Windows 事件写入。 这些 Windows 事件将由代理收集并转发到 Microsoft Sentinel。
请注意,所有计算机的数据都将存储在所选工作区中
2.1 将安装程序文件复制到服务器上的某个位置。
2.2 更新 ALC-WebCTRL-AuditPull.ps1(上述步骤中复制的)脚本参数,例如目标数据库名和 Windows 事件 ID。 有关更多详细信息,请参阅脚本中的注释。
2.3 根据要求更新 ALC-WebCTRL-AuditPullTaskConfig.xml 文件(上述步骤中复制的)中的 Windows 任务设置。 有关更多详细信息,请参阅文件中的注释。
2.4 使用在上述步骤中复制的更新配置来安装 Windows 任务
使用 PowerShell 在复制安装程序文件(步骤 2.1)的目录中运行以下命令
schtasks.exe /create /XML "ALC-WebCTRL-AuditPullTaskConfig.xml" /tn "ALC-WebCTRL-AuditPull"
- 验证连接
按照说明验证连接性:
打开 Log Analytics 以检查是否使用事件架构收到日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请验证以下步骤是否存在任何运行时问题:
- 确保计划任务已创建且在 Windows 任务计划程序中处于运行状态。
- 在 Windows 任务计划程序的历史记录选项卡中,检查步骤 2.4 中新创建的任务是否存在任务执行错误
- 确保在 Windows 计划任务运行时 SQL 审核表包含新记录。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。