Konektor VMware vCenter pro Microsoft Sentinel
Konektor vCenter umožňuje snadno připojit protokoly serveru vCenter k Microsoft Sentinelu. Získáte tak lepší přehled o datových centrech vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | vCenter_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Celkový počet událostí podle typu události
vCenter
| summarize count() by EventType
přihlášení/odhlášení k vCenter Serveru
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias VMware vCenter a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení VMware vCenter a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Pokud jste nenainstalovali řešení vCenter z ContentHubu, postupujte podle pokynů k použití aliasu funkce Kusto, vCenter.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Pokud chcete získat protokoly serveru vCenter do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. V protokolech vCenter Serveru máme problémy při analýze dat agenta OMS pomocí výchozího nastavení. Proto doporučujeme zaznamenávat protokoly do vlastní tabulky vCenter_CL pomocí následujících pokynů.
Přihlaste se k serveru, na kterém jste nainstalovali agenta OMS.
Stažení konfiguračního souboru vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf
Zkopírujte soubor vcenter.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
Upravte soubor vcenter.conf následujícím způsobem:
a. vcenter.conf používá ve výchozím nastavení port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.
b. Pokud chcete změnit výchozí port pro vcenter.conf , ujistěte se, že nepoužíváte výchozí porty agenta Azure monotoring /loganalytic, například CEF používá port TCP 25226 nebo 25224.
c. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 13 14 15 18).
Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart
Upravte soubor /etc/rsyslog.conf – přidejte následující šablonu nejlépe na začátek / před oddíl direktiv $template vcenter,"%timestamp% %hostname% %msg%\n"
Vytvořte vlastní soubor conf v souboru /etc/rsyslog.d/, například 10-vcenter.conf a přidejte následující podmínky filtru.
S přidaným příkazem budete muset vytvořit filtr, který určí protokoly přicházející ze serveru vcenter, které se mají předávat do vlastní tabulky.
reference: Podmínky filtru – rsyslog 8.18.0.master dokumentace
Tady je příklad filtrování, které je možné definovat, to není dokončeno a bude vyžadovat další testování pro každou instalaci. Pokud $rawmsg obsahuje "vcenter-server", @@127.0.0.1:22033; Vcenter & zastavit, pokud $rawmsg obsahuje "vpxd", pak @@127.0.0.1:22033; vcenter & stop
Restartování rsyslog systemctl restart rsyslog
Konfigurace a připojení zařízení vCenter
Podle těchto pokynů nakonfigurujte vCenter pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.