Brugerdefinerede logge via AMA-dataconnector – Konfigurer dataindtagelse for at Microsoft Sentinel fra bestemte programmer

Microsoft Sentinel brugerdefinerede logge via AMA-dataconnectoren understøtter indsamling af logge fra tekstfiler fra flere forskellige netværks- og sikkerhedsprogrammer og -enheder.

Denne artikel indeholder konfigurationsoplysninger, der er entydige for hvert bestemt sikkerhedsprogram, som du skal angive, når du konfigurerer denne dataconnector. Disse oplysninger leveres af programudbyderne. Kontakt udbyderen for at få opdateringer, for at få flere oplysninger, eller når oplysninger ikke er tilgængelige for dit sikkerhedsprogram. Du kan finde de komplette instruktioner til, hvordan du installerer og konfigurerer connectoren, under Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel, men gå tilbage til denne artikel for at få de entydige oplysninger, der skal angives for hvert program.

I denne artikel kan du også se, hvordan du henter data fra disse programmer til dit Microsoft Sentinel arbejdsområde uden at bruge connectoren. Disse trin omfatter installation af Azure Monitor Agent. Når connectoren er installeret, skal du bruge den vejledning, der passer til dit program, som vises senere i denne artikel, for at fuldføre installationen.

De enheder, du indsamler brugerdefinerede tekstlogfiler fra, kan opdeles i to kategorier:

  • Programmer, der er installeret på Windows- eller Linux-computere

    Programmet gemmer sine logfiler på den computer, hvor det er installeret. For at indsamle disse logge er Azure Monitor Agent installeret på den samme computer.

  • Apparater, der er selvstændige på lukkede (normalt Linux-baserede) enheder

    Disse apparater lagrer deres logge på en ekstern syslog-server. For at indsamle disse logge, Azure Monitor Agentis installeret på denne eksterne syslog-server, ofte kaldet en log forwarder.

Du kan finde flere oplysninger om den relaterede Microsoft Sentinel-løsning for hvert af disse programmer ved at søge i Azure Marketplace efterskabeloner til produkttypeløsning> eller gennemse løsningen fra indholdshubben i Microsoft Sentinel.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.

Generelle instruktioner

Fremgangsmåden til indsamling af logge fra maskiner, der hoster programmer og apparater, følger et generelt mønster:

  1. Opret destinationstabellen på en af følgende placeringer:

    • Brug siden Avanceret jagt på Defender-portalen.
    • I Azure Portal skal du bruge Log Analytics.

  2. Opret reglen for dataindsamling (DCR) for dit program eller din apparat.

  3. Installer Azure Monitor Agent på den computer, der er vært for programmet, eller på den eksterne server (log forwarder), der indsamler logfiler fra apparater, hvis den ikke allerede er installeret.

  4. Konfigurer logføring på dit program. Hvis en apparat er installeret, skal du konfigurere den til at sende sine logge til den eksterne server (log forwarder), hvor Azure Monitor Agent er installeret.

Disse generelle trin (undtagen den sidste) automatiseres, når du bruger brugerdefinerede logge via AMA-dataconnectoren og beskrives detaljeret i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

Specifikke instruktioner pr. programtype

De oplysninger pr. program, du skal bruge for at fuldføre disse trin, vises i resten af denne artikel. Nogle af disse programmer er på selvstændige apparater og kræver en anden type konfiguration, startende med brugen af en log forwarder.

Hvert programafsnit indeholder følgende oplysninger:

  • Entydige parametre, der skal angives til konfigurationen af brugerdefinerede logge via AMA-dataconnectoren, hvis du bruger den.
  • Dispositionen af den procedure, der kræves for at indfødning af data manuelt uden brug af connectoren. Du kan finde flere oplysninger om denne procedure under Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.
  • Specifikke instruktioner til konfiguration af de oprindelige programmer eller enheder selv og/eller links til vejledningen på udbydernes websteder. Disse trin skal udføres, uanset om du bruger connectoren eller ej.

Apache HTTP-server

Følg disse trin for at overføre logmeddelelser fra Apache HTTP-serveren:

  1. Tabelnavn: ApacheHTTPServer_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux:"/var/log/httpd/*.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

Apache Tomcat

Følg disse trin for at hente logmeddelelser fra Apache Tomcat:

  1. Tabelnavn: Tomcat_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Linux:"/var/log/tomcat/*.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

Cisco Meraki

Følg disse trin for at hente logmeddelelser fra Cisco Meraki:

  1. Tabelnavn: meraki_CL

  2. Placering af loglager: Opret en logfil på din eksterne syslog-server. Tildel syslog daemon skrivetilladelser til filen. Installér AMA på den eksterne syslog-server, hvis den ikke allerede er installeret. Angiv dette filnavn og denne sti i feltet Filmønster i connectoren eller i stedet for pladsholderen {LOCAL_PATH_FILE} i DCR.

  3. Konfigurer syslog-daemon for at eksportere Meraki-logmeddelelserne til en midlertidig tekstfil, så AMA kan indsamle dem.

    1. Opret en brugerdefineret konfigurationsfil til rsyslog-daemon, og gem den i /etc/rsyslog.d/10-meraki.conf. Føj følgende filtreringsbetingelser til denne konfigurationsfil:

      if $rawmsg contains "flows" then {
    action(type="omfile" file="<LOG_FILE_Name>")
    stop
}
if $rawmsg contains "urls" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ids-alerts" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "events" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_start" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_end" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
}

      (Erstat <LOG_FILE_Name> med navnet på den logfil, du har oprettet).

      Hvis du vil vide mere om filtreringsbetingelser for rsyslog, skal du se rsyslog: Filterbetingelser. Vi anbefaler, at du tester og ændrer konfigurationen baseret på din specifikke installation.

    2. Genstart rsyslog. Den typiske kommandosyntaks er systemctl restart rsyslog.

  4. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    • Erstat kolonnenavnet "RawData" med kolonnenavnet "Message".

    • Erstat transformKql-værdien "source" med værdien "source | project-rename Message=RawData".

    • Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  5. Konfigurer den computer, hvor Azure Monitor Agent er installeret, for at åbne syslog-portene, og konfigurer syslog-daemonen der for at acceptere meddelelser fra eksterne kilder. Du kan finde detaljerede instruktioner og et script til at automatisere denne konfiguration under Konfigurer videresendelsesprogrammet til at acceptere logge.

  6. Konfigurer og tilslut Cisco Meraki-enheden eller -enhederne: Følg instruktionerne fra Cisco for at sende syslog-meddelelser. Brug IP-adressen eller værtsnavnet på den virtuelle maskine, hvor Azure Monitor Agent er installeret.

Tilbage til toppen

JBoss Enterprise Application Platform

Følg disse trin for at overføre logmeddelelser fra JBoss Enterprise Application Platform:

  1. Tabelnavn: JBossLogs_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns") – kun Linux:

    • Separat server: "{EAP_HOME}/standalone/log/server.log"
    • Administreret domæne: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

JuniperIDP

Følg disse trin for at hente logmeddelelser fra JuniperIDP:

  1. Tabelnavn: JuniperIDP_CL

  2. Placering af loglager: Opret en logfil på din eksterne syslog-server. Tildel syslog daemon skrivetilladelser til filen. Installér AMA på den eksterne syslog-server, hvis den ikke allerede er installeret. Angiv dette filnavn og denne sti i feltet Filmønster i connectoren eller i stedet for pladsholderen {LOCAL_PATH_FILE} i DCR.

  3. Konfigurer syslog-daemon for at eksportere juniperIDP-logfilerne til en midlertidig tekstfil, så AMA kan indsamle dem.

    1. Opret en brugerdefineret konfigurationsfil til rsyslog-daemon i mappen /etc/rsyslog.d/ med følgende filtreringsbetingelser:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Erstat <parameters> med de faktiske navne på de objekter, der repræsenteres. <> LOG_FILE_NAME er den fil, du oprettede i trin 2.

    2. Genstart rsyslog. Den typiske kommandosyntaks er systemctl restart rsyslog.

  4. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    • Erstat kolonnenavnet "RawData" med kolonnenavnet "Message".

    • Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

    • Erstat transformKql-værdien "source" med følgende Kusto-forespørgsel (omsluttet af dobbelte anførselstegn):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData

      På følgende skærmbillede vises den komplette forespørgsel i det foregående eksempel i et mere læsevenligt format:

      Skærmbillede, der viser den udvidede Kusto-forespørgsel med linjeskift af hensyn til læsbarheden.

      Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

      Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

      Andre ressourcer:

  5. Konfigurer den computer, hvor Azure Monitor Agent er installeret, for at åbne syslog-portene, og konfigurer syslog-daemonen der for at acceptere meddelelser fra eksterne kilder. Du kan finde detaljerede instruktioner og et script til at automatisere denne konfiguration under Konfigurer videresendelsesprogrammet til at acceptere logge.

  6. Du kan finde instruktioner i, hvordan du konfigurerer Juniper IDP-enheden til at sende syslog-meddelelser til en ekstern server, under SRX Introduktion – Konfigurer systemlogføring.

Tilbage til toppen

MarkLogic Audit

Følg disse trin for at overføre logmeddelelser fra MarkLogic Audit:

  1. Tabelnavn: MarkLogicAudit_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux:"/var/opt/MarkLogic/Logs/AuditLog.txt"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  4. Konfigurer MarkLogic Audit for at gøre det muligt at skrive logge: (fra Dokumentationen til MarkLogic)

    1. Brug din browser til at navigere til MarkLogic Administration grænseflade.
    2. Åbn skærmen Overvågningskonfiguration under Grupper > group_name > Overvågning.
    3. Markér alternativknappen Overvågning aktiveret. Sørg for, at den er aktiveret.
    4. Konfigurer den ønskede overvågningshændelse og/eller de ønskede begrænsninger.
    5. Valider ved at vælge OK.
    6. Se Dokumentationen til MarkLogic for at få flere oplysninger og konfigurationsindstillinger.

Tilbage til toppen

MongoDB-overvågning

Følg disse trin for at overføre logmeddelelser fra MongoDB Audit:

  1. Tabelnavn: MongoDBAudit_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux:"/data/db/auditlog.json"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  4. Konfigurer MongoDB til at skrive logge:

    1. I Windows skal du redigere konfigurationsfilen mongod.cfg. For Linux, mongod.conf.
    2. Angiv parameteren dbpath til data/db.
    3. Angiv parameteren path til /data/db/auditlog.json.
    4. Se Dokumentationen til MongoDB for at få flere parametre og oplysninger.

Tilbage til toppen

NGINX HTTP-server

Følg disse trin for at overføre logmeddelelser fra NGINX HTTP-server:

  1. Tabelnavn: NGINX_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Linux:"/var/log/nginx.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

Oracle WebLogic Server

Følg disse trin for at overføre logmeddelelser fra Oracle WebLogic Server:

  1. Tabelnavn: OracleWebLogicServer_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux:"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

PostgreSQL-hændelser

Følg disse trin for at overføre logmeddelelser fra PostgreSQL-hændelser:

  1. Tabelnavn: PostgreSQL_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux:"/var/log/*.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  4. Rediger konfigurationsfilen postgresql.conf postgreSQL-hændelser for at sende logfiler til filer.

    1. Sæt log_destination='stderr'
    2. Sæt logging_collector=on
    3. Se dokumentationen til PostgreSQL for at få flere parametre og oplysninger.

Tilbage til toppen

SecurityBridge Threat Detection til SAP

Følg disse trin for at hente logmeddelelser fra SecurityBridge Threat Detection for SAP:

  1. Tabelnavn: SecurityBridgeLogs_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Linux:"/usr/sap/tmp/sb_events/*.cef"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

SquidProxy

Følg disse trin for at indlæse logmeddelelser fra SquidProxy:

  1. Tabelnavn: SquidProxy_CL

  2. Placering af loglager: Logfiler gemmes som tekstfiler på programmets værtscomputer. Installér AMA på den samme computer for at indsamle filerne.

    Standardfilplaceringer ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux:"/var/log/squid/*.log"

  3. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

Tilbage til toppen

Ubiquiti UniFi

Følg disse trin for at hente logmeddelelser fra Ubiquiti UniFi:

  1. Tabelnavn: Ubiquiti_CL

  2. Placering af loglager: Opret en logfil på din eksterne syslog-server. Tildel syslog daemon skrivetilladelser til filen. Installér AMA på den eksterne syslog-server, hvis den ikke allerede er installeret. Angiv dette filnavn og denne sti i feltet Filmønster i connectoren eller i stedet for pladsholderen {LOCAL_PATH_FILE} i DCR.

  3. Konfigurer syslog-daemon for at eksportere de tilhørende Ubiquiti-logmeddelelser til en midlertidig tekstfil, så AMA kan indsamle dem.

    1. Opret en brugerdefineret konfigurationsfil til rsyslog-daemon i mappen /etc/rsyslog.d/ med følgende filtreringsbetingelser:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Erstat <parameters> med de faktiske navne på de objekter, der repræsenteres. <> LOG_FILE_NAME er den fil, du oprettede i trin 2.

    2. Genstart rsyslog. Den typiske kommandosyntaks er systemctl restart rsyslog.

  4. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    • Erstat kolonnenavnet "RawData" med kolonnenavnet "Message".

    • Erstat transformKql-værdien "source" med værdien "source | project-rename Message=RawData".

    • Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  5. Konfigurer den computer, hvor Azure Monitor Agent er installeret, for at åbne syslog-portene, og konfigurer syslog-daemonen der for at acceptere meddelelser fra eksterne kilder. Du kan finde detaljerede instruktioner og et script til at automatisere denne konfiguration under Konfigurer videresendelsesprogrammet til at acceptere logge.

  6. Konfigurer og opret forbindelse til Ubiquiti-controlleren.

    1. Følg instruktionerne fra Ubiquiti for at aktivere syslog og eventuelt foretage fejlfinding af logge.
    2. Vælg Indstillinger > Systemindstillinger > Controllerkonfiguration > Fjernlogføring, og aktivér syslog.

Tilbage til toppen

VMware vCenter

Følg disse trin for at overføre logmeddelelser fra VMware vCenter:

  1. Tabelnavn: vcenter_CL

  2. Placering af loglager: Opret en logfil på din eksterne syslog-server. Tildel syslog daemon skrivetilladelser til filen. Installér AMA på den eksterne syslog-server, hvis den ikke allerede er installeret. Angiv dette filnavn og denne sti i feltet Filmønster i connectoren eller i stedet for pladsholderen {LOCAL_PATH_FILE} i DCR.

  3. Konfigurer syslog-daemon for at eksportere dens vCenter-logfiler til en midlertidig tekstfil, så AMA kan indsamle dem.

    1. Rediger konfigurationsfilen /etc/rsyslog.conf for at tilføje følgende skabelonlinje før direktivafsnittet :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Opret en brugerdefineret konfigurationsfil til rsyslog-daemon, der er gemt som /etc/rsyslog.d/10-vcenter.conf med følgende filtreringsbetingelser:

      if $rawmsg contains "vpxd" then {
    action(type="omfile" file="/<LOG_FILE_NAME>")
    stop
}
if $rawmsg contains "vcenter-server" then { 
    action(type="omfile" file="/<LOG_FILE_NAME>") 
    stop 
}

      (Erstat <LOG_FILE_NAME> med navnet på den logfil, du har oprettet).

    3. Genstart rsyslog. Den typiske kommandosyntaks er sudo systemctl restart rsyslog.

  4. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    • Erstat kolonnenavnet "RawData" med kolonnenavnet "Message".

    • Erstat transformKql-værdien "source" med værdien "source | project-rename Message=RawData".

    • Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

    • dataCollectionEndpointId skal udfyldes med din DCE. Hvis du ikke har en, skal du definere en ny. Se Opret et slutpunkt for dataindsamling for at få vejledning.

  5. Konfigurer den computer, hvor Azure Monitor Agent er installeret, for at åbne syslog-portene, og konfigurer syslog-daemonen der for at acceptere meddelelser fra eksterne kilder. Du kan finde detaljerede instruktioner og et script til at automatisere denne konfiguration under Konfigurer videresendelsesprogrammet til at acceptere logge.

  6. Konfigurer og tilslut vCenter-enhederne.

    1. Følg instruktionerne fra VMware for at sende syslog-meddelelser.
    2. Brug IP-adressen eller værtsnavnet på den computer, hvor Azure Monitor Agent er installeret.

Tilbage til toppen

Privat adgang til Zscaler (ZPA)

Følg disse trin for at overføre logmeddelelser fra Zscaler Private Access (ZPA):

  1. Tabelnavn: ZPA_CL

  2. Placering af loglager: Opret en logfil på din eksterne syslog-server. Tildel syslog daemon skrivetilladelser til filen. Installér AMA på den eksterne syslog-server, hvis den ikke allerede er installeret. Angiv dette filnavn og denne sti i feltet Filmønster i connectoren eller i stedet for pladsholderen {LOCAL_PATH_FILE} i DCR.

  3. Konfigurer syslog-daemon for at eksportere ZPA-logfilerne til en midlertidig tekstfil, så AMA kan indsamle dem.

    1. Opret en brugerdefineret konfigurationsfil til rsyslog-daemon i mappen /etc/rsyslog.d/ med følgende filtreringsbetingelser:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      Erstat <parameters> med de faktiske navne på de objekter, der repræsenteres.

    2. Genstart rsyslog. Den typiske kommandosyntaks er systemctl restart rsyslog.

  4. Opret DCR i henhold til vejledningen i Indsaml logge fra tekstfiler med Azure Monitor Agent og indfødning til Microsoft Sentinel.

    • Erstat kolonnenavnet "RawData" med kolonnenavnet "Message".

    • Erstat transformKql-værdien "source" med værdien "source | project-rename Message=RawData".

    • Erstat pladsholderne {TABLE_NAME} og {LOCAL_PATH_FILE} i DCR-skabelonen med værdierne i trin 1 og 2. Erstat de andre pladsholdere som anvist.

  5. Konfigurer den computer, hvor Azure Monitor Agent er installeret, for at åbne syslog-portene, og konfigurer syslog-daemonen der for at acceptere meddelelser fra eksterne kilder. Du kan finde detaljerede instruktioner og et script til at automatisere denne konfiguration under Konfigurer videresendelsesprogrammet til at acceptere logge.

  6. Konfigurer og tilslut ZPA-modtageren.

    1. Følg instruktionerne fra ZPA. Vælg JSON som logskabelon.
    2. Vælg Indstillinger > Systemindstillinger > Controllerkonfiguration > Fjernlogføring, og aktivér syslog.

Tilbage til toppen

Relateret indhold

  • Last updated on