Connector für PostgreSQL-Ereignisse für Microsoft Sentinel

  • Artikel

Der PostgreSQL-Datenconnector bietet die Funktionalität, PostgreSQL-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden in der Dokumentation zu PostgreSQL.

Connector-Attribute

Connectorattribut BESCHREIBUNG
Kusto-Funktionsalias PostgreSQLEvent
Kusto-Funktions-URL https://aka.ms/sentinel-postgresql-parser
Log Analytics-Tabellen PostgreSQL_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

PostgreSQL-Fehler

PostgreSQLEvent

| where EventSeverity in~ ('ERROR', 'FATAL')

| sort by EventEndTime

Installationsanweisungen des Anbieters

Hinweis

Die erwartungsgemäße Funktion dieses Datenconnectors ist von einem PostgreSQL-Parser abhängig, der auf einer Kusto-Funktion basiert. Dieser Parser wird zusammen mit der Lösung installiert.

  1. Installieren und Integrieren des Agent für Linux oder Windows

Installieren Sie den Agent auf dem Tomcat-Server, auf dem die Protokolle generiert werden.

Protokolle vom PostgreSQL-Server, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.

  1. Konfigurieren von PostgreSQL zum Schreiben von Protokollen in Dateien

  2. Bearbeiten Sie die Datei „postgresql.conf“, um Protokolle in Dateien zu schreiben:

log_destination = 'stderr'

logging_collector = on

Legen Sie die folgenden Parameter fest: log_directory und log_filename. Ausführlichere Informationen finden Sie in der PostgreSQL-Dokumentation

  1. Konfigurieren der zu erfassenden Protokolle

Konfigurieren des zu erfassenden benutzerdefinierten Protokollverzeichnisses

  1. Wählen Sie den obigen Link aus, um die erweiterten Einstellungen Ihres Arbeitsbereichs zu öffnen.
  2. Wählen Sie im Bereich links Einstellungen aus, wählen Sie Benutzerdefinierte Protokolle aus, und klicken Sie dann auf + Benutzerdefiniertes Protokoll hinzufügen.
  3. Klicken Sie auf Durchsuchen, um ein Beispiel einer PostgreSQL-Protokolldatei hochzuladen. Klicken Sie dann auf Weiter >.
  4. Wählen Sie Zeitstempel als Datensatztrennzeichen aus, und klicken Sie auf Weiter >.
  5. Wählen Sie Windows oder Linux aus, und geben Sie den Pfad zu PostgreSQL-Protokollen basierend auf Ihrer Konfiguration ein. (Für einige Linux-Distributionen lautet der Standardpfad beispielsweise „/var/log/postgresql/“.)
  6. Nachdem Sie den Pfad eingegeben haben, klicken Sie auf das Symbol „+“, um den Pfad anzuwenden, und klicken Sie dann auf Weiter >.
  7. Fügen Sie PostgreSQL als benutzerdefinierten Protokollnamen hinzu (das Suffix „_CL“ wird automatisch hinzugefügt), und klicken Sie auf Fertig.

Überprüfen der Konnektivität

Es kann bis zu 20 Minuten dauern, bis Ihre Protokolle in Microsoft Sentinel angezeigt werden.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.