موصل VMware vCenter ل Microsoft Sentinel
يسمح لك موصل vCenter بتوصيل سجلات خادم vCenter بسهولة مع Microsoft Sentinel. يمنحك هذا المزيد من التفاصيل حول مراكز بيانات مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | vCenter_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
إجمالي الأحداث حسب نوع الحدث
vCenter
| summarize count() by EventType
تسجيل الدخول/الخروج إلى خادم vCenter
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
إرشادات تثبيت المورد
ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار VMware vCenter وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، في السطر الثاني من الاستعلام، أدخل اسم المضيف (أسماء) جهاز (أجهزة) VMware vCenter وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.
- إذا لم تقم بتثبيت حل vCenter من ContentHub، فاتبع الخطوات لاستخدام الاسم المستعار لدالة Kusto، vCenter
- تثبيت وإلحاق العامل لنظام Linux
عادة، يجب تثبيت العامل على كمبيوتر مختلف عن الكمبيوتر الذي يتم إنشاء السجلات عليه.
يتم جمع سجلات Syslog فقط من وكلاء Linux .
- تكوين السجلات ليتم جمعها
اتبع خطوات التكوين أدناه للحصول على سجلات خادم vCenter في Microsoft Sentinel. راجع وثائق Azure Monitor للحصول على مزيد من التفاصيل حول هذه الخطوات. بالنسبة لسجلات خادم vCenter، لدينا مشكلات أثناء تحليل البيانات بواسطة بيانات عامل OMS باستخدام الإعدادات الافتراضية. لذلك ننصحك بتسجيل السجلات في جدول مخصص vCenter_CL باستخدام الإرشادات أدناه.
تسجيل الدخول إلى الخادم حيث قمت بتثبيت عامل OMS.
تنزيل ملف التكوين vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf
انسخ vcenter.conf إلى المجلد /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ . cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
تحرير vcenter.conf كما يلي:
أ. يستخدم vcenter.conf المنفذ 22033 بشكل افتراضي. تأكد من عدم استخدام هذا المنفذ من قبل أي مصدر آخر على الخادم
ب. إذا كنت ترغب في تغيير المنفذ الافتراضي ل vcenter.conf ، فتأكد من عدم استخدام منافذ عامل تحليلي افتراضية ل Azure أو منافذ عامل تحليل السجل على سبيل المثال(على سبيل المثال، يستخدم CEF منفذ TCP 25226 أو 25224)
جـ. استبدل workspace_id بالقيمة الحقيقية لمعرف مساحة العمل (الأسطر 13,14,15,18)
حفظ التغييرات وإعادة تشغيل عامل Azure Log Analytics لخدمة Linux باستخدام الأمر التالي: sudo /opt/microsoft/omsagent/bin/service_control إعادة التشغيل
تعديل ملف /etc/rsyslog.conf - أضف القالب أدناه ويفضل أن يكون في بداية / قبل قسم التوجيهات $template vcenter،"٪timestamp٪ ٪hostname٪ ٪msg٪\n"
إنشاء ملف conf مخصص في /etc/rsyslog.d/ على سبيل المثال 10-vcenter.conf وإضافة شروط التصفية التالية.
باستخدام عبارة مضافة، ستحتاج إلى إنشاء عامل تصفية يحدد السجلات القادمة من خادم vcenter لإعادة توجيهها إلى الجدول المخصص.
المرجع: شروط التصفية — وثائق rsyslog 8.18.0.master
فيما يلي مثال على التصفية التي يمكن تعريفها، وهذا غير كامل وسيتطلب اختبارا إضافيا لكل تثبيت. إذا كان $rawmsg يحتوي على "vcenter-server" ثم @@127.0.0.1:22033; vcenter وإيقاف إذا كان $rawmsg يحتوي على "vpxd" ثم @@127.0.0.1:22033; vcenter &stop
إعادة تشغيل rsyslog systemctl إعادة تشغيل rsyslog
تكوين وتوصيل جهاز (أجهزة) vCenter
اتبع هذه الإرشادات لتكوين vCenter لإعادة توجيه syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.