你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 Cisco Software Defined WAN 连接器

Cisco Software Defined WAN (SD-WAN) 数据连接器提供将 Cisco SD-WAN Syslog 和 Netflow 数据引入 Microsoft Sentinel 的功能。

这是自动生成的内容。有关更改，请联系解决方案提供商。

连接器属性

连接器属性	说明
Kusto 函数别名	CiscoSyslogUTD
Kusto 函数 URL	https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics 表	Syslog CiscoSDWANNetflow_CL
数据收集规则支持	工作区转换 DCR
支持的服务	Cisco 系统

Syslog 事件 - 所有 Syslog 事件。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

若要将 Cisco SD-WAN Syslog 和 Netflow 数据引入 Microsoft Sentinel，请执行以下步骤。

Azure Monitor 代理将用于将 syslog 数据收集到 Microsoft sentinel 中。为此，首先需要为发送 syslog 数据的 VM 创建一个 Azure arc 服务器。

1.1 添加 Azure Arc Server 的步骤

在 Azure 门户中，转到“服务器 - Azure Arc”，然后点击“添加”。
选择“添加单一服务器”部分下的“生成脚本”。用户还可以为多个服务器生成脚本。
在“先决条件”页上查看信息，然后选择“下一步“。
在“资源详细信息”页上，提供 Microsoft Sentinel、区域、操作系统和连接方法的订阅和资源组。然后，选择“下一步”。
在“标记”页上，查看建议的默认“物理位置标记”并输入值，或指定一个或多个“自定义标记”以支持你的标准。然后，选择“下一步 >”
选择“下载”以保存脚本文件。
生成脚本后，下一步是在要载入 Azure Arc 的服务器上运行该脚本。
如果有 Azure VM，在运行该脚本之前，请按照链接中提到的步骤操作。
使用以下命令运行该脚本：./<ScriptName>.sh
安装代理并将其配置为连接到启用了 Azure Arc 的服务器后，请转到 Azure 门户，验证是否已成功连接服务器。在 Azure 门户中查看你的计算机。参考链接

1.2 创建数据收集规则 (DCR) 的步骤

在 Azure 门户中，搜索“监视”。在“设置”下，选择“数据收集规则”，然后选择“创建”。
在“基本信息”面板上，输入“规则名称”、“订阅”、“资源组”、“区域”和“平台类型”。
选择“下一步: 资源”。
选择“添加资源”。使用筛选器查找要用于收集日志的虚拟机。
选择虚拟机。选择“应用”。
选择“下一步: 收集和传递”。
选择“添加数据源”。对于“数据源类型”，选择“Linux syslog”。
对于“最小日志级别”，请保留默认值“LOG_DEBUG”。
选择“下一步: 目标”。
选择“添加目标”，然后添加“目标类型”、“订阅和帐户”或“命名空间”。
选择“添加数据源”。选择“下一步: 查看 + 创建”。
选择创建。等待 20 分钟。在 Microsoft Sentinel 或 Azure Monitor 中，验证 Azure Monitor 代理是否正在 VM 上运行。参考链接
将 Netflow 数据引入 Microsoft Sentinel 的步骤

若要将 Netflow 数据引入 Microsoft sentinel，需要在 VM 上安装和配置 Filebeat 和 Logstash。配置后，VM 将能够接收配置的端口上的 Netflow 数据，并且该数据将引入 Microsoft Sentinel 的工作区。

2.1 安装 Filebeat 和 Logstash

2.2 配置 Filebeat 以将事件发送到 Logstash

编辑 filebeat.yml 文件：vi /etc/filebeat/filebeat.yml
注释禁止 Elasticsearch 输出部分。
取消注释 Logstash 输出部分（仅注释禁止这两行）- output.logstash 主机：[“localhost：5044”]
在“Logstash 输出”部分，如果要发送默认端口（即 5044 端口）以外的数据，请替换主机字段中的端口号。（注意：配置 logstash 时，应将此端口添加到 conf 文件中。）
在“filebeat.inputs”部分注释禁止现有配置，并添加以下配置：- type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
在“Filebeat 输出”部分，如果要接收默认端口（即 2055 端口）以外的数据，请替换主机字段中的端口号。
在 /etc/filebeat/ 目录中添加提供的 custom.yml 文件。
在防火墙中打开 Filebeat 输入和输出端口。
运行命令：firewall-cmd --zone=public --permanent --add-port=2055/udp
运行命令：firewall-cmd --zone=public --permanent --add-port=5044/udp

注意：如果为 Filebeat 输入/输出添加了自定义端口，请在防火墙中打开该端口。

2.3 配置 Logstash 以将事件发送到 Microsoft Sentinel

安装 Azure Log Analytics 插件：
运行命令：sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
将 Log Analytics 工作区密钥存储在 Logstash 密钥存储中。可以在 Azure 门户的 Log Analytic 工作区“>”下找到工作区密钥，选择“设置”下的工作区“>”，选择“代理”>“Log Analytics 代理”说明。
复制主键并运行以下命令：
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
创建配置文件 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(输入在 Filebeat 配置期间配置的输入端口号码，例如 Filebeat.yml 文件。) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

注意：如果 Microsoft sentinel 中没有表，它将在 Sentinel 中创建一个新表。

2.4 运行 Filebeat：

systemctl start filebeat

filebeat run -e

2.5 运行 Logstash：

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

有关详细信息，请转到 Azure 市场中的相关解决方案。