Konektor VMware vCenter pro Microsoft Sentinel
Konektor vCenter umožňuje snadno připojit protokoly serveru vCenter k Microsoft Sentinelu. Získáte tak lepší přehled o datových centrech vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | vcenter_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Celkový počet událostí podle typu události
vCenter
| summarize count() by EventType
přihlášení/odhlášení k vCenter Serveru
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
Požadavky
Pokud chcete provést integraci s VMware vCenter, ujistěte se, že máte:
- Pokud připojení vyžaduje, zahrňte vlastní požadavky – jinak odstraňte celní předpisy: Popis pro všechny vlastní požadavky
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias VMware vCenter a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení VMware vCenter a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
Pokud jste nenainstalovali řešení vCenter z ContentHubu, postupujte podle pokynů k použití aliasu funkce Kusto, vCenter.
Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
Konfigurace protokolů, které se mají shromažďovat
Pokud chcete získat protokoly serveru vCenter do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. V protokolech vCenter Serveru máme problémy při analýze dat agenta OMS pomocí výchozího nastavení. Proto doporučujeme zaznamenávat protokoly do vlastní tabulky vcenter_CL pomocí následujících pokynů.
Přihlaste se k serveru, na kterém jste nainstalovali agenta OMS.
Stažení konfiguračního souboru vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf
Zkopírujte soubor vcenter.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
Upravte soubor vcenter.conf následujícím způsobem:
a. vcenter.conf používá ve výchozím nastavení port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.
b. Pokud chcete změnit výchozí port pro vcenter.conf , ujistěte se, že nepoužíváte výchozí porty agenta Azure monotoring /loganalytic, například CEF používá port TCP 25226 nebo 25224.
c. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 13 14 15 18).
Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart
Úprava souboru /etc/rsyslog.conf – pokud možno na začátek / před oddíl direktiv přidejte následující šablonu.
$template vcenter,"%timestamp% %hostname% %msg%\ n"
Poznámka: Mezi lomítkem (\) a znakem "n" ve výše uvedeném příkazu není mezera.
Vytvořte vlastní soubor conf v souboru /etc/rsyslog.d/, například 10-vcenter.conf a přidejte následující podmínky filtru.
Stažení konfiguračního souboru 10-vCenter.conf
S přidaným příkazem budete muset vytvořit filtr, který určí protokoly přicházející ze serveru vcenter, které se mají předávat do vlastní tabulky.
reference: Podmínky filtru – rsyslog 8.18.0.master dokumentace
Tady je příklad filtrování, které je možné definovat, to není dokončeno a bude vyžadovat další testování pro každou instalaci.
if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter & stop if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter & stop
Restartování rsyslog systemctl restart rsyslog
Konfigurace a připojení zařízení vCenter
Podle těchto pokynů nakonfigurujte vCenter pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro