سجلات مخصصة عبر موصل بيانات AMA - تكوين استيعاب البيانات إلى Microsoft Sentinel من تطبيقات معينة

تدعم سجلات Microsoft Sentinel المخصصة عبر موصل بيانات AMA مجموعة السجلات من الملفات النصية من العديد من تطبيقات وأجهزة الشبكة والأمان المختلفة.

توفر هذه المقالة معلومات التكوين، الفريدة لكل تطبيق أمان محدد، التي تحتاج إلى توفيرها عند تكوين موصل البيانات هذا. يتم توفير هذه المعلومات من قبل موفري التطبيقات. اتصل بالموفر للحصول على تحديثات أو للحصول على مزيد من المعلومات أو عندما تكون المعلومات غير متوفرة لتطبيق الأمان الخاص بك. للحصول على الإرشادات الكاملة لتثبيت الموصل وتكوينه، راجع تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعابها إلى Microsoft Sentinel، ولكن راجع هذه المقالة للحصول على المعلومات الفريدة التي يجب توفيرها لكل تطبيق.

توضح لك هذه المقالة أيضا كيفية استيعاب البيانات من هذه التطبيقات إلى مساحة عمل Microsoft Sentinel دون استخدام الموصل. تتضمن هذه الخطوات تثبيت عامل Azure Monitor. بعد تثبيت الموصل، استخدم الإرشادات المناسبة للتطبيق الخاص بك، الموضحة لاحقا في هذه المقالة، لإكمال الإعداد.

تندرج الأجهزة التي تجمع منها سجلات النص المخصصة في فئتين:

• التطبيقات المثبتة على أجهزة Windows أو Linux

  يخزن التطبيق ملفات السجل الخاصة به على الجهاز حيث تم تثبيته. لتجميع هذه السجلات، يتم تثبيت عامل Azure Monitor على نفس الجهاز.

• الأجهزة المكتفية ذاتيا على الأجهزة المغلقة (المستندة عادة إلى Linux)

  تخزن هذه الأجهزة سجلاتها على خادم syslog خارجي. لتجميع هذه السجلات، تم تثبيت Azure Monitor Agentis على خادم syslog الخارجي هذا، وغالبا ما يسمى معاد توجيه السجل.

لمزيد من المعلومات حول حل Microsoft Sentinel ذي الصلة لكل تطبيق من هذه التطبيقات، ابحث في Azure Marketplace عن قوالب حل نوع>المنتج أو راجع الحل من مركز المحتوى في Microsoft Sentinel.

إرشادات عامة

تتبع خطوات جمع السجلات من الأجهزة التي تستضيف التطبيقات والأجهزة نمطا عاما:

1. إنشاء جدول الوجهة في Log Analytics (أو التتبع المتقدم إذا كنت في مدخل Defender).

2. إنشاء قاعدة جمع البيانات (DCR) للتطبيق أو الجهاز الخاص بك.

3. انشر عامل Azure Monitor على الجهاز الذي يستضيف التطبيق، أو إلى الخادم الخارجي (معاد توجيه السجل) الذي يجمع السجلات من الأجهزة إذا لم يكن قد تم نشره بالفعل.

4. تكوين تسجيل الدخول إلى التطبيق الخاص بك. إذا كان جهازا، فقم بتكوينه لإرسال سجلاته إلى الخادم الخارجي (معاد توجيه السجل) حيث تم تثبيت عامل Azure Monitor.

يتم أتمتة هذه الخطوات العامة (باستثناء الخطوات الأخيرة) عند استخدام السجلات المخصصة عبر موصل بيانات AMA ، ويتم وصفها بالتفصيل في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعابها إلى Microsoft Sentinel.

إرشادات محددة لكل نوع تطبيق

يتم تقديم المعلومات لكل تطبيق تحتاج إلى إكمال هذه الخطوات في بقية هذه المقالة. بعض هذه التطبيقات موجودة على أجهزة قائمة بذاتها وتتطلب نوعا مختلفا من التكوين، بدءا من استخدام معاد توجيه السجل.

يحتوي كل قسم تطبيق على المعلومات التالية:

• معلمات فريدة لتوفيرها لتكوين السجلات المخصصة عبر موصل بيانات AMA ، إذا كنت تستخدمه.
• مخطط الإجراء المطلوب لاستيعاب البيانات يدويا، دون استخدام الموصل. للحصول على تفاصيل هذا الإجراء، راجع تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعابها إلى Microsoft Sentinel.
• إرشادات محددة لتكوين التطبيقات أو الأجهزة الأصلية نفسها و/أو الارتباطات إلى الإرشادات الموجودة على مواقع موفري الخدمة على الويب. يجب اتخاذ هذه الخطوات سواء باستخدام الموصل أم لا.

Apache HTTP Server

اتبع هذه الخطوات لاستيعاب رسائل السجل من Apache HTTP Server:

1. اسم الجدول: ApacheHTTPServer_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

Apache Tomcat

اتبع هذه الخطوات لاستيعاب رسائل السجل من Apache Tomcat:

1. اسم الجدول: Tomcat_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

Cisco Meraki

اتبع هذه الخطوات لاستيعاب رسائل السجل من Cisco Meraki:

1. اسم الجدول: meraki_CL

2. موقع تخزين السجل: إنشاء ملف سجل على خادم syslog الخارجي. امنح البرنامج الخفي syslog أذونات الكتابة إلى الملف. قم بتثبيت AMA على خادم syslog الخارجي إذا لم يكن مثبتا بالفعل. أدخل اسم الملف والمسار هذا في حقل نمط الملف في الموصل، أو بدلا من {LOCAL_PATH_FILE} العنصر النائب في DCR.

3. قم بتكوين البرنامج الخفي syslog لتصدير رسائل سجل Meraki الخاصة به إلى ملف نصي مؤقت حتى يتمكن AMA من جمعها.

   • سجل rsyslog
   • syslog-ng

   1. أنشئ ملف تكوين مخصصا لبرنامج rsyslog الخفي واحفظه في /etc/rsyslog.d/10-meraki.conf. أضف شروط التصفية التالية إلى ملف التكوين هذا:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (استبدل <LOG_FILE_Name> باسم ملف السجل الذي أنشأته.)

      لمعرفة المزيد حول شروط التصفية ل rsyslog، راجع rsyslog: شروط التصفية. نوصي باختبار التكوين وتعديله استنادا إلى التثبيت المحدد.

   2. أعد تشغيل rsyslog. بناء جملة الأمر النموذجي هو systemctl restart rsyslog.

4. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   • استبدل اسم "RawData" العمود باسم "Message"العمود .

   • استبدل قيمة "source" transformKql بالقيمة "source | project-rename Message=RawData".

   • استبدل العناصر النائبة {TABLE_NAME} و {LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

5. قم بتكوين الجهاز حيث تم تثبيت عامل Azure Monitor لفتح منافذ syslog، وتكوين البرنامج الخفي syslog هناك لقبول الرسائل من مصادر خارجية. للحصول على إرشادات مفصلة وبرنامج نصي لأتمتة هذا التكوين، راجع تكوين معاد توجيه السجل لقبول السجلات.

6. تكوين وتوصيل جهاز (أجهزة) Cisco Meraki: اتبع الإرشادات التي يوفرها Cisco لإرسال رسائل syslog. استخدم عنوان IP أو اسم المضيف للجهاز الظاهري حيث تم تثبيت عامل Azure Monitor.

الرجوع إلى الأعلى

JBoss Enterprise Application Platform

اتبع هذه الخطوات لاستيعاب رسائل السجل من JBoss Enterprise Application Platform:

1. اسم الجدول: JBossLogs_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns") - Linux فقط:

   • الخادم المستقل: "{EAP_HOME}/standalone/log/server.log"
   • المجال المدار: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

JuniperIDP

اتبع هذه الخطوات لاستيعاب رسائل السجل من JuniperIDP:

1. اسم الجدول: JuniperIDP_CL

2. موقع تخزين السجل: إنشاء ملف سجل على خادم syslog الخارجي. امنح البرنامج الخفي syslog أذونات الكتابة إلى الملف. قم بتثبيت AMA على خادم syslog الخارجي إذا لم يكن مثبتا بالفعل. أدخل اسم الملف والمسار هذا في حقل نمط الملف في الموصل، أو بدلا من {LOCAL_PATH_FILE} العنصر النائب في DCR.

3. قم بتكوين البرنامج الخفي syslog لتصدير رسائل سجل JuniperIDP إلى ملف نصي مؤقت حتى يتمكن AMA من جمعها.

   • سجل rsyslog
   • syslog-ng

   1. إنشاء ملف تكوين مخصص لبرنامج rsyslog الخفي، في /etc/rsyslog.d/ المجلد، مع شروط التصفية التالية:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (استبدل <parameters> بالأسماء الفعلية للكائنات الممثلة. <> LOG_FILE_NAME هو الملف الذي أنشأته في الخطوة 2.)

   2. أعد تشغيل rsyslog. بناء جملة الأمر النموذجي هو systemctl restart rsyslog.

4. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   • استبدل اسم "RawData" العمود باسم "Message"العمود .

   • استبدل العناصر النائبة {TABLE_NAME} و {LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

   • استبدل قيمة "source" transformKql باستعلام Kusto التالي (محاطا بعلامات اقتباس مزدوجة):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

     تظهر لقطة الشاشة التالية الاستعلام الكامل في المثال السابق بتنسيق أكثر قابلية للقراءة:

     

     راجع المزيد من المعلومات حول العناصر التالية المستخدمة في الأمثلة السابقة، في وثائق Kusto:

     • عامل تشغيل التحليل
     • توسيع عامل التشغيل
     • استخراج الدالة
     • عامل تشغيل خارج المشروع

     لمزيد من المعلومات حول KQL، راجع نظرة عامة على لغة استعلام Kusto (KQL).

     الموارد الأخرى:

     • مرجع KQL السريع
     • موارد تعلم Kusto Query Language

5. قم بتكوين الجهاز حيث تم تثبيت عامل Azure Monitor لفتح منافذ syslog، وتكوين البرنامج الخفي syslog هناك لقبول الرسائل من مصادر خارجية. للحصول على إرشادات مفصلة وبرنامج نصي لأتمتة هذا التكوين، راجع تكوين معاد توجيه السجل لقبول السجلات.

6. للحصول على إرشادات لتكوين جهاز Juniper IDP لإرسال رسائل syslog إلى خادم خارجي، راجع بدء SRX - تكوين تسجيل النظام.

الرجوع إلى الأعلى

تدقيق MarkLogic

اتبع هذه الخطوات لاستيعاب رسائل السجل من MarkLogic Audit:

1. اسم الجدول: MarkLogicAudit_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

4. تكوين MarkLogic Audit لتمكينه من كتابة السجلات: (من وثائق MarkLogic)

   1. باستخدام المستعرض، انتقل إلى واجهة مسؤول MarkLogic.
   2. افتح شاشة تكوين التدقيق ضمن المجموعات > group_name > التدقيق.
   3. وضع علامة على الزر التبادلي "تمكين التدقيق". تأكد من تمكينه.
   4. تكوين حدث التدقيق و/أو القيود المطلوبة.
   5. تحقق من الصحة عن طريق تحديد موافق.
   6. راجع وثائق MarkLogic لمزيد من التفاصيل وخيارات التكوين.

الرجوع إلى الأعلى

تدقيق MongoDB

اتبع هذه الخطوات لاستيعاب رسائل السجل من تدقيق MongoDB:

1. اسم الجدول: MongoDBAudit_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

4. تكوين MongoDB لكتابة السجلات:

   1. بالنسبة إلى Windows، قم بتحرير ملف mongod.cfgالتكوين . بالنسبة إلى Linux، mongod.conf.
   2. عين dbpath المعلمة إلىdata/db
   3. عين path المعلمة إلى/data/db/auditlog.json
   4. راجع وثائق MongoDB لمزيد من المعلمات والتفاصيل.

الرجوع إلى الأعلى

خادم NGINX HTTP

اتبع هذه الخطوات لاستيعاب رسائل السجل من خادم NGINX HTTP:

1. اسم الجدول: NGINX_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

خادم Oracle WebLogic

اتبع هذه الخطوات لاستيعاب رسائل السجل من Oracle WebLogic Server:

1. اسم الجدول: OracleWebLogicServer_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

أحداث PostgreSQL

اتبع هذه الخطوات لاستيعاب رسائل السجل من أحداث PostgreSQL:

1. اسم الجدول: PostgreSQL_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

4. قم بتحرير ملف postgresql.conf تكوين أحداث PostgreSQL لإخراج السجلات إلى الملفات.

   1. جبر log_destination='stderr'
   2. جبر logging_collector=on
   3. راجع وثائق PostgreSQL لمزيد من المعلمات والتفاصيل.

الرجوع إلى الأعلى

الكشف عن تهديدات SecurityBridge ل SAP

اتبع هذه الخطوات لاستيعاب رسائل السجل من SecurityBridge Threat Detection ل SAP:

1. اسم الجدول: SecurityBridgeLogs_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

SquidProxy

اتبع هذه الخطوات لاستيعاب رسائل السجل من SquidProxy:

1. اسم الجدول: SquidProxy_CL

2. موقع تخزين السجل: يتم تخزين السجلات كملفات نصية على الجهاز المضيف للتطبيق. تثبيت AMA على نفس الجهاز لجمع الملفات.

   مواقع الملفات الافتراضية ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   استبدل العناصر النائبة {TABLE_NAME} و{LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

الرجوع إلى الأعلى

Ubiquiti UniFi

اتبع هذه الخطوات لاستيعاب رسائل السجل من Ubiquiti UniFi:

1. اسم الجدول: Ubiquiti_CL

2. موقع تخزين السجل: إنشاء ملف سجل على خادم syslog الخارجي. امنح البرنامج الخفي syslog أذونات الكتابة إلى الملف. قم بتثبيت AMA على خادم syslog الخارجي إذا لم يكن مثبتا بالفعل. أدخل اسم الملف والمسار هذا في حقل نمط الملف في الموصل، أو بدلا من {LOCAL_PATH_FILE} العنصر النائب في DCR.

3. قم بتكوين البرنامج الخفي syslog لتصدير رسائل سجل Ubiquiti الخاصة به إلى ملف نصي مؤقت حتى يتمكن AMA من جمعها.

   • سجل rsyslog
   • syslog-ng

   1. إنشاء ملف تكوين مخصص لبرنامج rsyslog الخفي، في /etc/rsyslog.d/ المجلد، مع شروط التصفية التالية:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (استبدل <parameters> بالأسماء الفعلية للكائنات الممثلة. <> LOG_FILE_NAME هو الملف الذي أنشأته في الخطوة 2.)

   2. أعد تشغيل rsyslog. بناء جملة الأمر النموذجي هو systemctl restart rsyslog.

4. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   • استبدل اسم "RawData" العمود باسم "Message"العمود .

   • استبدل قيمة "source" transformKql بالقيمة "source | project-rename Message=RawData".

   • استبدل العناصر النائبة {TABLE_NAME} و {LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

5. قم بتكوين الجهاز حيث تم تثبيت عامل Azure Monitor لفتح منافذ syslog، وتكوين البرنامج الخفي syslog هناك لقبول الرسائل من مصادر خارجية. للحصول على إرشادات مفصلة وبرنامج نصي لأتمتة هذا التكوين، راجع تكوين معاد توجيه السجل لقبول السجلات.

6. تكوين وحدة تحكم Ubiquiti وتوصيلها.

   1. اتبع الإرشادات التي يوفرها Ubiquiti لتمكين syslog وتصحيح السجلات اختياريا.
   2. حدد Settings > System Settings > Controller Configuration > Remote Logging وقم بتمكين syslog.

الرجوع إلى الأعلى

VMware vCenter

اتبع هذه الخطوات لاستيعاب رسائل السجل من VMware vCenter:

1. اسم الجدول: vcenter_CL

2. موقع تخزين السجل: إنشاء ملف سجل على خادم syslog الخارجي. امنح البرنامج الخفي syslog أذونات الكتابة إلى الملف. قم بتثبيت AMA على خادم syslog الخارجي إذا لم يكن مثبتا بالفعل. أدخل اسم الملف والمسار هذا في حقل نمط الملف في الموصل، أو بدلا من {LOCAL_PATH_FILE} العنصر النائب في DCR.

3. قم بتكوين البرنامج الخفي syslog لتصدير رسائل سجل vCenter الخاصة به إلى ملف نصي مؤقت حتى يتمكن AMA من جمعها.

   • سجل rsyslog
   • syslog-ng

   1. قم بتحرير ملف /etc/rsyslog.conf التكوين لإضافة سطر القالب التالي قبل قسم التوجيه :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. إنشاء ملف تكوين مخصص لبرنامج rsyslog الخفي، المحفوظ كما هو الحال /etc/rsyslog.d/10-vcenter.conf مع شروط التصفية التالية:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (استبدل <LOG_FILE_NAME> باسم ملف السجل الذي أنشأته.)

   3. أعد تشغيل rsyslog. بناء جملة الأمر النموذجي هو sudo systemctl restart rsyslog.

4. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   • استبدل اسم "RawData" العمود باسم "Message"العمود .

   • استبدل قيمة "source" transformKql بالقيمة "source | project-rename Message=RawData".

   • استبدل العناصر النائبة {TABLE_NAME} و {LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

   • يجب ملء dataCollectionEndpointId ب DCE الخاص بك. إذا لم يكن لديك واحد، فحدد واحدا جديدا. راجع إنشاء نقطة نهاية لجمع البيانات للحصول على الإرشادات.

5. قم بتكوين الجهاز حيث تم تثبيت عامل Azure Monitor لفتح منافذ syslog، وتكوين البرنامج الخفي syslog هناك لقبول الرسائل من مصادر خارجية. للحصول على إرشادات مفصلة وبرنامج نصي لأتمتة هذا التكوين، راجع تكوين معاد توجيه السجل لقبول السجلات.

6. تكوين أجهزة vCenter وتوصيلها.

   1. اتبع الإرشادات التي يوفرها VMware لإرسال رسائل syslog.
   2. استخدم عنوان IP أو اسم المضيف للجهاز حيث تم تثبيت عامل Azure Monitor.

الرجوع إلى الأعلى

Zscaler Private Access (ZPA)

اتبع هذه الخطوات لاستيعاب رسائل السجل من Zscaler Private Access (ZPA):

1. اسم الجدول: ZPA_CL

2. موقع تخزين السجل: إنشاء ملف سجل على خادم syslog الخارجي. امنح البرنامج الخفي syslog أذونات الكتابة إلى الملف. قم بتثبيت AMA على خادم syslog الخارجي إذا لم يكن مثبتا بالفعل. أدخل اسم الملف والمسار هذا في حقل نمط الملف في الموصل، أو بدلا من {LOCAL_PATH_FILE} العنصر النائب في DCR.

3. قم بتكوين البرنامج الخفي syslog لتصدير رسائل سجل ZPA الخاصة به إلى ملف نصي مؤقت حتى يتمكن AMA من جمعها.

   • سجل rsyslog
   • syslog-ng

   1. إنشاء ملف تكوين مخصص لبرنامج rsyslog الخفي، في /etc/rsyslog.d/ المجلد، مع شروط التصفية التالية:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (استبدل <parameters> بالأسماء الفعلية للكائنات الممثلة.)

   2. أعد تشغيل rsyslog. بناء جملة الأمر النموذجي هو systemctl restart rsyslog.

4. قم بإنشاء DCR وفقا للتوجهات في تجميع السجلات من الملفات النصية باستخدام عامل Azure Monitor واستيعاب Microsoft Sentinel.

   • استبدل اسم "RawData" العمود باسم "Message"العمود .

   • استبدل قيمة "source" transformKql بالقيمة "source | project-rename Message=RawData".

   • استبدل العناصر النائبة {TABLE_NAME} و {LOCAL_PATH_FILE} في قالب DCR بالقيم في الخطوتي 1 و2. استبدل العناصر النائبة الأخرى كما هو موجه.

5. قم بتكوين الجهاز حيث تم تثبيت عامل Azure Monitor لفتح منافذ syslog، وتكوين البرنامج الخفي syslog هناك لقبول الرسائل من مصادر خارجية. للحصول على إرشادات مفصلة وبرنامج نصي لأتمتة هذا التكوين، راجع تكوين معاد توجيه السجل لقبول السجلات.

6. تكوين جهاز استقبال ZPA وتوصيله.

   1. اتبع الإرشادات التي يوفرها ZPA. حدد JSON كقالب السجل.
   2. حدد Settings > System Settings > Controller Configuration > Remote Logging وقم بتمكين syslog.

الرجوع إلى الأعلى

المحتوى ذو الصلة

• استيعاب رسائل syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor
• Syslog عبر AMA وتنسيق الحدث المشترك (CEF) عبر موصلات AMA ل Microsoft Sentinel