Megosztás a következőn keresztül:

Egyéni naplók az AMA-adatösszekötőn keresztül – Adatbetöltés konfigurálása a Microsoft Sentinelbe adott alkalmazásokból

  • Cikk

A Microsoft Sentinel AMA-adatösszekötőn keresztüli egyéni naplói számos különböző hálózati és biztonsági alkalmazásból és eszközről származó szövegfájlokból származó naplók gyűjtését támogatják.

Ez a cikk az egyes biztonsági alkalmazásokhoz tartozó konfigurációs információkat tartalmazza, amelyeket az adatösszekötő konfigurálásakor meg kell adnia. Ezeket az információkat az alkalmazásszolgáltatók adják meg. Frissítésekért, további információkért vagy ha a biztonsági alkalmazás nem érhető el, forduljon a szolgáltatóhoz. Az összekötő telepítésével és konfigurálásával kapcsolatos teljes útmutatásért tekintse meg az Azure Monitor-ügynökkel rendelkező és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtését ismertető cikket, de az egyes alkalmazásokhoz tartozó egyedi információkért tekintse meg ezt a cikket.

Ez a cikk azt is bemutatja, hogyan lehet adatokat beszedni ezekből az alkalmazásokból a Microsoft Sentinel-munkaterületre az összekötő használata nélkül. Ezek a lépések magukban foglalják az Azure Monitor-ügynök telepítését. Az összekötő telepítése után a telepítés befejezéséhez használja az alkalmazásnak megfelelő utasításokat, amely a jelen cikk későbbi részében látható.

Az egyéni szöveges naplók gyűjtésére szolgáló eszközök két kategóriába sorolhatók:

  • Windows vagy Linux rendszerű gépekre telepített alkalmazások

    Az alkalmazás a naplófájljait azon a gépen tárolja, amelyen telepítve van. A naplók gyűjtéséhez az Azure Monitor-ügynök ugyanazon a gépen van telepítve.

  • Zárt (általában Linux-alapú) eszközökön önállóan működő berendezések

    Ezek a berendezések egy külső syslog-kiszolgálón tárolják a naplóikat. A naplók gyűjtéséhez az Azure Monitor Agentis telepítve van ezen a külső syslog-kiszolgálón, amelyet gyakran naplótovábbítónak neveznek.

Az egyes alkalmazásokhoz kapcsolódó Microsoft Sentinel-megoldással kapcsolatos további információkért keresse meg az Azure Marketplace-en a terméktípus-megoldássablonokat>, vagy tekintse át a megoldást a Microsoft Sentinel tartalomközpontjából.

Fontos

  • Az AMA-adatösszekötőn keresztüli egyéni naplók jelenleg előzetes verzióban érhetőek el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

  • A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Általános utasítások

Az alkalmazásokat és berendezéseket üzemeltető gépek naplóinak gyűjtésének lépései általános mintát követnek:

  1. Hozza létre a céltáblát a Log Analyticsben (vagy speciális vadászatban, ha a Defender portálon van).

  2. Hozza létre az alkalmazáshoz vagy berendezéshez tartozó adatgyűjtési szabályt (DCR).

  3. Helyezze üzembe az Azure Monitor-ügynököt az alkalmazást üzemeltető gépen, vagy a külső kiszolgálón (naplótovábbítón), amely naplókat gyűjt a berendezésekről, ha még nincs üzembe helyezve.

  4. Konfigurálja az alkalmazás naplózását. Ha egy berendezést használ, konfigurálja úgy, hogy a naplóit elküldje annak a külső kiszolgálónak (naplótovábbítónak), ahol az Azure Monitor-ügynök telepítve van.

Ezeket az általános lépéseket (az utolsó kivételével) automatikusan használhatja az egyéni naplókat az AMA-adatösszekötőn keresztül, és részletesen ismerteti a Naplók gyűjtése szövegfájlokból az Azure Monitor-ügynökkel és a Microsoft Sentinelbe való betöltésekor.

Alkalmazástípusonkénti konkrét utasítások

A lépések végrehajtásához szükséges alkalmazásonkénti információkat a cikk további részében találja. Ezen alkalmazások némelyike önálló berendezéseken található, és más típusú konfigurációt igényel, kezdve a naplótovábbító használatával.

Minden alkalmazásszakasz a következő információkat tartalmazza:

  • Egyedi paraméterek az egyéni naplók AMA-adatösszekötőn keresztüli konfigurálásához, ha használja.
  • Az adatok manuális betöltéséhez szükséges eljárás vázlata az összekötő használata nélkül. Az eljárás részleteiért lásd : Naplók gyűjtése szövegfájlokból az Azure Monitor-ügynökkel és a Microsoft Sentinelbe való betöltéssel.
  • Az eredeti alkalmazások vagy eszközök konfigurálására vonatkozó konkrét utasítások és/vagy a szolgáltatók webhelyein található utasításokra mutató hivatkozások. Ezeket a lépéseket meg kell tenni, függetlenül attól, hogy az összekötőt használja-e.

Apache HTTP Server

Kövesse az alábbi lépéseket a naplóüzenetek Apache HTTP Serverről való betöltéséhez:

  1. Tábla neve: ApacheHTTPServer_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
    • Linux: "/var/log/httpd/*.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

Apache Tomcat

Kövesse az alábbi lépéseket a naplóüzenetek Apache Tomcatből való betöltéséhez:

  1. Tábla neve: Tomcat_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Linux: "/var/log/tomcat/*.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

Cisco Meraki

Kövesse az alábbi lépéseket a Cisco Meraki naplóüzenetei betöltéséhez:

  1. Tábla neve: meraki_CL

  2. Naplótárolás helye: Hozzon létre egy naplófájlt a külső syslog-kiszolgálón. Adjon a syslog démonnak írási engedélyeket a fájlhoz. Telepítse az AMA-t a külső syslog-kiszolgálóra, ha még nincs telepítve. Adja meg ezt a fájlnevet és elérési utat az összekötő Fájlminta mezőjében, vagy a helyőrző helyett a {LOCAL_PATH_FILE} DCR-ben.

  3. Konfigurálja a syslog démont, hogy a Meraki-naplóüzeneteit egy ideiglenes szövegfájlba exportálja, hogy az AMA összegyűjthesse őket.

    1. Hozzon létre egy egyéni konfigurációs fájlt az rsyslog démonhoz, és mentse a fájlba /etc/rsyslog.d/10-meraki.conf. Adja hozzá a következő szűrési feltételeket ehhez a konfigurációs fájlhoz:

      if $rawmsg contains "flows" then {
    action(type="omfile" file="<LOG_FILE_Name>")
    stop
}
if $rawmsg contains "urls" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ids-alerts" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "events" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_start" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
} 
if $rawmsg contains "ip_flow_end" then { 
    action(type="omfile" file="<LOG_FILE_Name>") 
    stop 
}

      (Cserélje le <LOG_FILE_Name> a létrehozott naplófájl nevére.)

      További információ az rsyslog szűrési feltételeiről: rsyslog: Szűrési feltételek. Javasoljuk, hogy tesztelje és módosítsa a konfigurációt az adott telepítés alapján.

    2. Indítsa újra az rsyslog parancsot. A parancsok jellemző szintaxisa a következő systemctl restart rsyslog: .

  4. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    • Cserélje le az oszlop nevét "RawData" az oszlopnévre "Message".

    • Cserélje le a transformKql értéket "source" az értékre "source | project-rename Message=RawData".

    • Cserélje le a {TABLE_NAME}{LOCAL_PATH_FILE} DCR-sablonban lévő helyőrzőket az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  5. Konfigurálja azt a gépet, amelyen az Azure Monitor-ügynök telepítve van a syslog-portok megnyitásához, és konfigurálja a syslog démont a külső forrásokból érkező üzenetek elfogadásához. A konfiguráció automatizálására vonatkozó részletes utasításokért és szkriptért lásd : A naplótovábbító konfigurálása a naplók elfogadásához.

  6. Konfigurálja és csatlakoztassa a Cisco Meraki-eszközt: kövesse a Cisco által a syslog-üzenetek küldéséhez megadott utasításokat. Használja annak a virtuális gépnek az IP-címét vagy állomásnevét, amelyen az Azure Monitor-ügynök telepítve van.

Vissza a lap tetejére

JBoss Enterprise Alkalmazásplatform

Kövesse az alábbi lépéseket a naplóüzenetek JBoss Enterprise Application Platformról való betöltéséhez:

  1. Tábla neve: JBossLogs_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns") – csak Linux:

    • Önálló kiszolgáló: "{EAP_HOME}/standalone/log/server.log"
    • Felügyelt tartomány: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

JuniperIDP

Kövesse az alábbi lépéseket a JuniperIDP-ből származó naplóüzenetek betöltéséhez:

  1. Tábla neve: JuniperIDP_CL

  2. Naplótárolás helye: Hozzon létre egy naplófájlt a külső syslog-kiszolgálón. Adjon a syslog démonnak írási engedélyeket a fájlhoz. Telepítse az AMA-t a külső syslog-kiszolgálóra, ha még nincs telepítve. Adja meg ezt a fájlnevet és elérési utat az összekötő Fájlminta mezőjében, vagy a helyőrző helyett a {LOCAL_PATH_FILE} DCR-ben.

  3. Konfigurálja a syslog démont, hogy a JuniperIDP-naplóüzeneteit egy ideiglenes szövegfájlba exportálja, hogy az AMA összegyűjthesse őket.

    1. Hozzon létre egyéni konfigurációs fájlt a mappában /etc/rsyslog.d/ található rsyslog démonhoz a következő szűrési feltételekkel:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Cserélje le <parameters> a megjelenített objektumok tényleges nevére. <> LOG_FILE_NAME a 2. lépésben létrehozott fájl.)

    2. Indítsa újra az rsyslog parancsot. A parancsok jellemző szintaxisa a következő systemctl restart rsyslog: .

  4. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    • Cserélje le az oszlop nevét "RawData" az oszlopnévre "Message".

    • Cserélje le a {TABLE_NAME}{LOCAL_PATH_FILE} DCR-sablonban lévő helyőrzőket az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

    • Cserélje le a transformKql értéket "source" a következő Kusto-lekérdezésre (dupla idézőjelek közé zárva):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData

      Az alábbi képernyőképen az előző példában szereplő teljes lekérdezés olvashatóbb formátumban látható:

      A kibontott Kusto-lekérdezést ábrázoló képernyőkép, amelyen sortörések láthatók az olvashatóság érdekében.

      Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:

      A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

      Egyéb erőforrások:

  5. Konfigurálja azt a gépet, amelyen az Azure Monitor-ügynök telepítve van a syslog-portok megnyitásához, és konfigurálja a syslog démont a külső forrásokból érkező üzenetek elfogadásához. A konfiguráció automatizálására vonatkozó részletes utasításokért és szkriptért lásd : A naplótovábbító konfigurálása a naplók elfogadásához.

  6. A Juniper IDP-berendezés konfigurálására vonatkozó utasításokért, hogy syslog-üzeneteket küldjenek egy külső kiszolgálónak, tekintse meg az SRX első lépéseit – A rendszernaplózás konfigurálása című témakört.

Vissza a lap tetejére

MarkLogic-naplózás

Kövesse az alábbi lépéseket a Naplóüzenetek MarkLogic-naplózásból való betöltéséhez:

  1. Tábla neve: MarkLogicAudit_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  4. A MarkLogic-naplózás konfigurálása naplók írásának engedélyezéséhez: (a MarkLogic dokumentációjából)

    1. A böngészőben lépjen a MarkLogic felügyeleti felületére.
    2. Nyissa meg a Naplózási konfiguráció képernyőt a Csoportok > group_name > Naplózás csoportban.
    3. Jelölje meg a Naplózás engedélyezve választógombot. Gondoskodjon róla, hogy engedélyezve legyen.
    4. Konfigurálja a naplózási eseményt és/vagy a kívánt korlátozásokat.
    5. Érvényesítés az OK gombra kattintva.
    6. További részletekért és konfigurációs lehetőségekért tekintse meg a MarkLogic dokumentációját.

Vissza a lap tetejére

MongoDB-audit

Kövesse az alábbi lépéseket a Naplóüzenetek MongoDB-naplózásból való betöltéséhez:

  1. Tábla neve: MongoDBAudit_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "C:\data\db\auditlog.json"
    • Linux: "/data/db/auditlog.json"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  4. A MongoDB konfigurálása naplók írására:

    1. Windows esetén szerkessze a konfigurációs fájlt mongod.cfg. Linux esetén. mongod.conf
    2. Állítsa be a paramétert dbpath a következőre data/db: .
    3. Állítsa be a paramétert path a következőre /data/db/auditlog.json: .
    4. További paraméterekért és részletekért tekintse meg a MongoDB dokumentációját.

Vissza a lap tetejére

NGINX HTTP-kiszolgáló

Kövesse az alábbi lépéseket a naplóüzenetek NGINX HTTP-kiszolgálóról való betöltéséhez:

  1. Tábla neve: NGINX_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Linux: "/var/log/nginx.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

Oracle WebLogic Server

Kövesse az alábbi lépéseket a naplóüzenetek Oracle WebLogic Serverről való betöltéséhez:

  1. Tábla neve: OracleWebLogicServer_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

PostgreSQL-események

Kövesse az alábbi lépéseket a Naplóüzenetek PostgreSQL-eseményekből való betöltéséhez:

  1. Tábla neve: PostgreSQL_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "C:\*.log"
    • Linux: "/var/log/*.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  4. Szerkessze a PostgreSQL-események konfigurációs fájlját postgresql.conf a naplófájlok fájlokba való kimenetéhez.

    1. Beállít log_destination='stderr'
    2. Beállít logging_collector=on
    3. További paraméterekért és részletekért tekintse meg a PostgreSQL dokumentációját.

Vissza a lap tetejére

SecurityBridge fenyegetésészlelés az SAP-hoz

Kövesse az alábbi lépéseket az SAP SecurityBridge fenyegetésészleléséből származó naplóüzenetek betöltéséhez:

  1. Tábla neve: SecurityBridgeLogs_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Linux: "/usr/sap/tmp/sb_events/*.cef"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

SquidProxy

Kövesse az alábbi lépéseket a naplóüzenetek SquidProxyból való betöltéséhez:

  1. Tábla neve: SquidProxy_CL

  2. Naplótárolás helye: A naplók szövegfájlként vannak tárolva az alkalmazás gazdagépén. Telepítse az AMA-t ugyanarra a gépre a fájlok gyűjtéséhez.

    Alapértelmezett fájlhelyek ("filePatterns"):

    • Windows: "C:\Squid\var\log\squid\*.log"
    • Linux: "/var/log/squid/*.log"

  3. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    Cserélje le a DCR-sablon {TABLE_NAME} és {LOCAL_PATH_FILE} helyőrzőit az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

Vissza a lap tetejére

Ubiquiti UniFi

Kövesse az alábbi lépéseket a naplóüzenetek Ubiquiti UniFi-ból való betöltéséhez:

  1. Tábla neve: Ubiquiti_CL

  2. Naplótárolás helye: Hozzon létre egy naplófájlt a külső syslog-kiszolgálón. Adjon a syslog démonnak írási engedélyeket a fájlhoz. Telepítse az AMA-t a külső syslog-kiszolgálóra, ha még nincs telepítve. Adja meg ezt a fájlnevet és elérési utat az összekötő Fájlminta mezőjében, vagy a helyőrző helyett a {LOCAL_PATH_FILE} DCR-ben.

  3. Konfigurálja a syslog démont, hogy az Ubiquiti-naplóüzeneteit egy ideiglenes szövegfájlba exportálja, hogy az AMA összegyűjthesse őket.

    1. Hozzon létre egyéni konfigurációs fájlt a mappában /etc/rsyslog.d/ található rsyslog démonhoz a következő szűrési feltételekkel:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Cserélje le <parameters> a megjelenített objektumok tényleges nevére. <> LOG_FILE_NAME a 2. lépésben létrehozott fájl.)

    2. Indítsa újra az rsyslog parancsot. A parancsok jellemző szintaxisa a következő systemctl restart rsyslog: .

  4. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    • Cserélje le az oszlop nevét "RawData" az oszlopnévre "Message".

    • Cserélje le a transformKql értéket "source" az értékre "source | project-rename Message=RawData".

    • Cserélje le a {TABLE_NAME}{LOCAL_PATH_FILE} DCR-sablonban lévő helyőrzőket az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  5. Konfigurálja azt a gépet, amelyen az Azure Monitor-ügynök telepítve van a syslog-portok megnyitásához, és konfigurálja a syslog démont a külső forrásokból érkező üzenetek elfogadásához. A konfiguráció automatizálására vonatkozó részletes utasításokért és szkriptért lásd : A naplótovábbító konfigurálása a naplók elfogadásához.

  6. Konfigurálja és csatlakoztassa az Ubiquiti-vezérlőt.

    1. Kövesse az Ubiquiti utasításait a syslog engedélyezéséhez és opcionálisan a naplók hibakereséséhez.
    2. Válassza a Beállítások > rendszerbeállítás-vezérlő > konfigurációja > távoli naplózás lehetőséget, és engedélyezze a syslogot.

Vissza a lap tetejére

VMware vCenter

Kövesse az alábbi lépéseket a naplóüzenetek VMware vCenterből való betöltéséhez:

  1. Tábla neve: vcenter_CL

  2. Naplótárolás helye: Hozzon létre egy naplófájlt a külső syslog-kiszolgálón. Adjon a syslog démonnak írási engedélyeket a fájlhoz. Telepítse az AMA-t a külső syslog-kiszolgálóra, ha még nincs telepítve. Adja meg ezt a fájlnevet és elérési utat az összekötő Fájlminta mezőjében, vagy a helyőrző helyett a {LOCAL_PATH_FILE} DCR-ben.

  3. Konfigurálja a syslog démont, hogy a vCenter naplóüzeneteit egy ideiglenes szövegfájlba exportálja, hogy az AMA összegyűjthesse őket.

    1. Szerkessze a konfigurációs fájlt /etc/rsyslog.conf a következő sablonsor hozzáadásához az irányelvszakasz előtt:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. Hozzon létre egyéni konfigurációs fájlt az rsyslog démonhoz, a /etc/rsyslog.d/10-vcenter.conf következő szűrési feltételek szerint mentve:

      if $rawmsg contains "vpxd" then {
    action(type="omfile" file="/<LOG_FILE_NAME>")
    stop
}
if $rawmsg contains "vcenter-server" then { 
    action(type="omfile" file="/<LOG_FILE_NAME>") 
    stop 
}

      (Cserélje le <LOG_FILE_NAME> a létrehozott naplófájl nevére.)

    3. Indítsa újra az rsyslog parancsot. A parancsok jellemző szintaxisa a következő sudo systemctl restart rsyslog: .

  4. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    • Cserélje le az oszlop nevét "RawData" az oszlopnévre "Message".

    • Cserélje le a transformKql értéket "source" az értékre "source | project-rename Message=RawData".

    • Cserélje le a {TABLE_NAME}{LOCAL_PATH_FILE} DCR-sablonban lévő helyőrzőket az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

    • A dataCollectionEndpointId azonosítót fel kell tölteni a DCE-vel. Ha nincs ilyenje, adjon meg egy újat. Az utasításokért lásd : Adatgyűjtési végpont létrehozása.

  5. Konfigurálja azt a gépet, amelyen az Azure Monitor-ügynök telepítve van a syslog-portok megnyitásához, és konfigurálja a syslog démont a külső forrásokból érkező üzenetek elfogadásához. A konfiguráció automatizálására vonatkozó részletes utasításokért és szkriptért lásd : A naplótovábbító konfigurálása a naplók elfogadásához.

  6. Konfigurálja és csatlakoztassa a vCenter-eszközöket.

    1. Kövesse a VMware által a syslog-üzenetek küldéséhez megadott utasításokat.
    2. Használja annak a gépnek az IP-címét vagy állomásnevét, amelyen az Azure Monitor-ügynök telepítve van.

Vissza a lap tetejére

Zscaler Private Access (ZPA)

Kövesse az alábbi lépéseket a naplóüzenetek Zscaler Private Accessből (ZPA) való betöltéséhez:

  1. Tábla neve: ZPA_CL

  2. Naplótárolás helye: Hozzon létre egy naplófájlt a külső syslog-kiszolgálón. Adjon a syslog démonnak írási engedélyeket a fájlhoz. Telepítse az AMA-t a külső syslog-kiszolgálóra, ha még nincs telepítve. Adja meg ezt a fájlnevet és elérési utat az összekötő Fájlminta mezőjében, vagy a helyőrző helyett a {LOCAL_PATH_FILE} DCR-ben.

  3. Konfigurálja a syslog démont, hogy a ZPA-naplóüzeneteit egy ideiglenes szövegfájlba exportálja, hogy az AMA összegyűjthesse őket.

    1. Hozzon létre egyéni konfigurációs fájlt a mappában /etc/rsyslog.d/ található rsyslog démonhoz a következő szűrési feltételekkel:

       # Define a new ruleset
ruleset(name="<RULESET_NAME>") { 
    action(type="omfile" file="<LOG_FILE_NAME>") 
} 

 # Set the input on port and bind it to the new ruleset 
input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")

      (Cserélje le <parameters> a megjelenített objektumok tényleges nevére.)

    2. Indítsa újra az rsyslog parancsot. A parancsok jellemző szintaxisa a következő systemctl restart rsyslog: .

  4. Hozza létre a DCR-t az Azure Monitor-ügynökkel és a Microsoft Sentinelbe betöltött szövegfájlok naplóinak gyűjtésével kapcsolatos útmutatásoknak megfelelően.

    • Cserélje le az oszlop nevét "RawData" az oszlopnévre "Message".

    • Cserélje le a transformKql értéket "source" az értékre "source | project-rename Message=RawData".

    • Cserélje le a {TABLE_NAME}{LOCAL_PATH_FILE} DCR-sablonban lévő helyőrzőket az 1. és a 2. lépésben szereplő értékekre. Cserélje le a többi helyőrzőt az utasítás szerint.

  5. Konfigurálja azt a gépet, amelyen az Azure Monitor-ügynök telepítve van a syslog-portok megnyitásához, és konfigurálja a syslog démont a külső forrásokból érkező üzenetek elfogadásához. A konfiguráció automatizálására vonatkozó részletes utasításokért és szkriptért lásd : A naplótovábbító konfigurálása a naplók elfogadásához.

  6. Konfigurálja és csatlakoztassa a ZPA-vevőt.

    1. Kövesse a ZPA utasításait. Válassza ki a JSON-t naplósablonként.
    2. Válassza a Beállítások > rendszerbeállítás-vezérlő > konfigurációja > távoli naplózás lehetőséget, és engedélyezze a syslogot.

Vissza a lap tetejére

Kapcsolódó tartalom