規劃常見事件格式連接器
CEF 連接器會部署 Syslog 轉寄站伺服器,以支援設備與 Microsoft Sentinel 之間的通訊。 伺服器包含專用的 Linux 機器,且已安裝適用於 Linux 的 Log Analytics 代理程式。 廠商特定的許多 Microsoft Sentinel 資料連接器都使用 CEF 連接器。
下圖顯示 Linux VM 在 Azure 中的設定。 內部部署 Syslog 來源會將事件安全地傳送到 Azure Linux VM。 接著,已安裝 Log Analytics 代理程式的 Linux VM 將記錄轉送到 Microsoft Sentinel 工作區。
或者,如果您使用的是在另一個雲端或內部部署機器的 VM,下圖會顯示設定方式。 內部部署 Syslog 來源將事件安全地傳送到 Linux VM。 接著,已安裝 Log Analytics 代理程式的 Linux VM 將記錄安全地轉送到 Microsoft Sentinel 工作區。
安全性考量
請務必根據組織的安全性原則來設定機器的安全性。 例如,您可根據公司網路安全性原則設定網路,並且依需求變更精靈中的連接埠和通訊協定。
若要在 Syslog 來源與 Syslog 轉寄站之間使用 TLS 通訊,您必須將 Syslog 精靈 (rsyslog 或 syslog-ng) 設定為以 TLS 通訊。
必要條件
請確認您用來作為記錄轉寄站的 Linux 機器是執行下列其中一個作業系統:
64 位元
Amazon Linux 2017.09
Oracle Linux 7
Red Hat Enterprise Linux (RHEL) Server 7 和 8,包括次要版本 (非 6)
Debian GNU/Linux 8 和 9
Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
SUSE Linux Enterprise Server 12, 15
32 位元
Oracle Linux 7
Red Hat Enterprise Linux (RHEL) Server 7 和 8,包括次要版本 (非 6)
Debian GNU/Linux 8 和 9
Ubuntu Linux 14.04 LTS 和 16.04 LTS
精靈版本
Syslog-ng: 2.1 - 3.22.1
Rsyslog: v8
支援 Syslog RFC
Syslog RFC 3164
Syslog RFC 5424
請確認您的機器也符合下列需求:
權限
- 您在機器上必須具有更高的權限 (sudo)。
軟體需求
- 請確認您的機器是執行 python 2.7 或 3。