[Veraltet] MarkLogic Audit Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Der MarkLogic-Datenconnector bietet die Möglichkeit, MarkLogicAudit-Protokolle in Microsoft Sentinel zu erfassen. Weitere Informationen finden in der MarkLogic-Dokumentation.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | MarkLogicAudit_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
MarkLogicAudit – Alle Aktivitäten.
MarkLogicAudit_CL
| sort by TimeGenerated desc
Installationsanweisungen des Anbieters
HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „MarkLogicAudit“ und laden Sie den Funktionscode oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer MarkLogicAudit-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.
- Installieren und Integrieren des Agents für Linux oder Windows
Installieren Sie den Agent auf dem Tomcat-Server, auf dem die Protokolle generiert werden.
Protokolle vom MarkLogic-Server, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.
- Konfigurieren von MarkLogicAudit zum Aktivieren der Überwachung
Führen Sie die folgenden Schritte aus, um die Überwachung für eine Gruppe zu aktivieren:
Greifen Sie mit einem Browser auf die Admin-Schnittstelle zu.
Öffnen Sie den Bildschirm „Überwachungskonfiguration“ (Gruppen > group_name > Überwachung);
Wählen Sie „True“ für das Optionsfeld „Überwachung aktiviert“ aus.
Konfigurieren Sie alle gewünschten Überwachungsereignisse und/oder Überwachungseinschränkungen.
Klicken Sie auf OK.
Weitere Informationen finden Sie in der MarkLogic-Dokumentation
- Konfigurieren der zu erfassenden Protokolle
Konfigurieren des zu sammelnden benutzerdefinierten Protokollverzeichnis
- Wählen Sie den obigen Link aus, um die erweiterten Einstellungen Ihres Arbeitsbereichs zu öffnen.
- Wählen Sie im Bereich links Einstellungen aus, wählen Sie Benutzerdefinierte Protokolle aus und klicken Sie dann auf +Benutzerdefiniertes Protokoll hinzufügen.
- Klicken Sie auf Durchsuchen, um ein Beispiel einer MarkLogicAudit-Protokolldatei hochzuladen. Klicken Sie anschließend auf Weiter >.
- Wählen Sie Zeitstempel als Datensatztrennzeichen aus, und klicken Sie auf Weiter >.
- Wählen Sie Windows oder Linux aus, und geben Sie den Pfad zu den MarkLogicAudit-Protokollen entsprechend Ihrer Konfiguration ein.
- Nachdem Sie den Pfad eingegeben haben, klicken Sie auf das Symbol „+“, um es anzuwenden, und klicken Sie dann auf Weiter >.
- Fügen Sie MarkLogicAudit als benutzerdefinierten Protokollnamen hinzu (das Suffix „_CL“ wird automatisch hinzugefügt), und klicken Sie auf Fertig.
Überprüfen der Konnektivität
Es kann bis zu 20 Minuten dauern, bis Ihre Protokolle in Microsoft Sentinel angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.