你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Ubiquiti UniFi(使用 Azure Functions)连接器
Ubiquiti UniFi 数据连接器提供将 Ubiquiti UniFi 防火墙、dns、ssh、AP 事件引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | Ubiquiti_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Microsoft Corporation |
查询示例
前 10 个客户端(源 IP)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖基于 Kusto 函数的分析程序,以按预期使用与 Microsoft Sentinel 解决方案一起部署的 UbiquitiAuditEvent。
注意
此数据连接器是使用企业系统控制器版本 5.6.2 (Syslog) 开发的
- 安装并载入适用于 Linux 或 Windows 的代理
在 Ubiquiti 设备(例如远程 syslog 服务器)转发 Ubiquiti 日志的目标服务器上安装代理
Linux 或 Windows 代理收集 Linux 或 Windows 服务器上部署的 Ubiquiti 服务器中的日志。
- 配置要收集的日志
按照以下配置步骤将 Ubiquiti 日志导入 Microsoft Sentinel。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。
在 Ubiquiti 控制器上配置日志转发:
i. 转到“设置”>“系统设置”>“控制器配置”>“远程日志记录”,然后启用 Syslog 和调试(可选)日志(请参阅用户指南了解详细说明)。
下载配置文件 Ubiquiti.conf。
登录到安装了 Azure Log Analytics 代理的服务器。
将 Ubiquiti.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹。
按如下方式编辑 Ubiquiti.conf:
i. 指定已设置 Ubiquiti 设备将日志转发到的端口(第 4 行)
ii. 将 workspace_id 替换为工作区 ID 的实际值(第 14、15、16、19 行)
保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。