Benutzerdefinierte Protokolle über AMA-Datenconnector – Konfigurieren der Datenerfassung in Microsoft Sentinel aus speziellen Anwendungen

Die benutzerdefinierten Protokolle von Microsoft Sentinel über den AMA-Datenconnector unterstützen die Sammlung von Protokollen aus Textdateien aus verschiedenen Netzwerk- und Sicherheitsanwendungen und -geräten.

In diesem Artikel werden die Konfigurationsinformationen bereitgestellt, die für jede bestimmte Sicherheitsanwendung eindeutig sind, die Sie beim Konfigurieren dieses Datenconnectors angeben müssen. Diese Informationen werden von den Anwendungsanbietern bereitgestellt. Wenden Sie sich an den Anbieter, um weitere Informationen zu erhalten oder wenn Informationen für Ihre Sicherheitsanwendung nicht verfügbar sind. Die vollständigen Anweisungen zum Installieren und Konfigurieren des Connectors finden Sie unter Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und der Aufnahme zu Microsoft Sentinel, verweisen sie jedoch auf diesen Artikel, um die eindeutigen Informationen zur Bereitstellung für jede Anwendung zu erhalten.

In diesem Artikel erfahren Sie auch, wie Sie Daten aus diesen Anwendungen in Ihren Microsoft Sentinel-Arbeitsbereich aufnehmen, ohne den Connector zu verwenden. Diese Schritte umfassen die Installation des Azure Monitor-Agents. Nachdem der Connector installiert wurde, verwenden Sie die entsprechenden Anweisungen für Ihre Anwendung, die weiter unten in diesem Artikel gezeigt werden, um das Setup abzuschließen.

Die Geräte, von denen Sie benutzerdefinierte Textprotokolle sammeln, sind in zwei Kategorien unterteilt:

• Auf Windows- oder Linux-Computern installierte Anwendungen

  Die Anwendung speichert ihre Protokolldateien auf dem Computer, auf dem sie installiert ist. Um diese Protokolle zu sammeln, wird der Azure Monitor-Agent auf diesem Computer installiert.

• Appliances, die auf geschlossenen (normalerweise Linux-basierten) Geräten eigenständig sind

  Diese Appliances speichern ihre Protokolle auf einem externen Syslog-Server. Um diese Protokolle zu sammeln, wird der auf diesem externen Syslog-Server installierte Azure Monitor-Agentis häufig als Protokollweiterleitung bezeichnet.

Weitere Informationen zur zugehörigen Microsoft Sentinel-Lösung für jede dieser Anwendungen finden Sie im Azure Marketplace nach den Produkttyplösungsvorlagen>, oder überprüfen Sie die Lösung über den Inhaltshub in Microsoft Sentinel.

Wichtig

• Der „Benutzerdefinierte Protokolle über AMA“-Datenconnector befindet sich derzeit in der PREVIEW. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

• Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Allgemeine Anleitungen

Die Schritte zum Sammeln von Protokollen von Computern, auf denen Anwendungen und Appliances gehostet werden, folgen einem allgemeinen Muster:

1. Erstellen Sie die Zieltabelle in Log Analytics (oder „Erweiterte Bedrohungssuche“, wenn Sie im Defender-Portal arbeiten).

2. Erstellen Sie die Datensammlungsregel (Data Collection Rule, DCR) für Ihre Anwendung oder Appliance.

3. Stellen Sie den Azure Monitor-Agent auf dem Computer bereit, auf dem die Anwendung gehostet wird, oder auf dem externen Server (Protokollweiterleitung), der Protokolle von Appliances sammelt, wenn sie noch nicht bereitgestellt ist.

4. Konfigurieren Sie die Protokollierung für Ihre Anwendung. Wenn eine Appliance, konfigurieren Sie sie so, dass sie ihre Protokolle an den externen Server (Protokollweiterleitung) sendet, auf dem der Azure Monitor-Agent installiert ist.

Diese allgemeinen Schritte (mit Ausnahme der letzten Schritte) werden automatisiert, wenn Sie die benutzerdefinierten Protokolle über den AMA-Datenconnector verwenden und in " Protokolle aus Textdateien sammeln" mit dem Azure Monitor-Agent und der Erfassung an Microsoft Sentinel ausführlich beschrieben werden.

Spezifische Anweisungen pro Anwendungstyp

Die anwendungsspezifischen Informationen, die Sie zum Ausführen dieser Schritte benötigen, finden Sie im restlichen Artikel. Einige dieser Anwendungen befinden sich auf eigenständigen Appliances und erfordern einen anderen Konfigurationstyp, beginnend mit der Verwendung einer Protokollweiterleitung.

Jeder Anwendungsabschnitt enthält die folgenden Informationen:

• Eindeutige Parameter, die für die Konfiguration der benutzerdefinierten Protokolle über den AMA-Datenconnector angegeben werden sollen, wenn Sie ihn verwenden.
• Die Gliederung des Verfahrens, das zum manuellen Aufnehmen von Daten erforderlich ist, ohne den Verbinder zu verwenden. Ausführliche Informationen zu diesem Verfahren finden Sie unter "Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und aufnahme in Microsoft Sentinel".
• Spezifische Anweisungen zum Konfigurieren der ursprünglichen Anwendungen oder Geräte selbst und/oder Links zu den Anweisungen auf den Websites der Anbieter. Diese Schritte müssen ausgeführt werden, unabhängig davon, ob sie den Verbinder verwenden oder nicht.

Apache HTTP Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Apache HTTP Server aufzunehmen:

1. Tabellenname: ApacheHTTPServer_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

Apache Tomcat

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Apache Tomcat aufzunehmen:

1. Tabellenname: Tomcat_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

Cisco Meraki

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Cisco Meraki aufzunehmen:

1. Tabellenname: meraki_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Geben Sie diesen Dateinamen und Pfad in das Feld "Dateimuster " im Verbinder oder anstelle des Platzhalters {LOCAL_PATH_FILE} im DCR ein.

3. Konfigurieren Sie den Syslog-Daemon, um seine Meraki-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   rsyslog

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon, und speichern Sie sie in /etc/rsyslog.d/10-meraki.conf. Fügen Sie dieser Konfigurationsdatei die folgenden Filterbedingungen hinzu:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Ersetzen Sie <LOG_FILE_Name> den Namen der von Ihnen erstellten Protokolldatei.)

      Weitere Informationen zu Filterbedingungen für rsyslog finden Sie unter rsyslog: Filterbedingungen. Wir empfehlen, die Konfiguration basierend auf Ihrer spezifischen Installation zu testen und zu ändern.

   2. Starten Sie rsyslog neu. Die typische Befehlssyntax lautet systemctl restart rsyslog.

   syslog-ng

   1. Bearbeiten Sie die Konfigurationsdatei /etc/syslog-ng/conf.d, und fügen Sie die folgenden Bedingungen hinzu:

      filter f_meraki {
          message("flows") or message("urls") or message("ids-alerts") or message("events") or message("ip_flow_start") or message("ip_flow_end"); 
      }; 
      
      destination d_meraki { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_meraki); 
          destination(d_meraki); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   2. Starten Sie syslog-ng neu. Die typische Befehlssyntax lautet systemctl restart syslog-ng.

4. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Ersetzen Sie die {TABLE_NAME} Platzhalter {LOCAL_PATH_FILE} in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und verbinden Sie die Cisco Meraki-Geräte: Befolgen Sie die Anweisungen von Cisco zum Senden von Syslog-Nachrichten. Verwenden Sie die IP-Adresse oder den Hostnamen des virtuellen Computers, auf dem der Azure Monitor-Agent installiert ist.

Zurück nach oben

JBoss Enterprise Application Platform

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von JBoss Enterprise Application Platform aufzunehmen:

1. Tabellenname: JBossLogs_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns") – nur Linux:

   • Eigenständiger Server: "{EAP_HOME}/standalone/log/server.log"
   • Verwaltete Domäne: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

JuniperIDP

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von JuniperIDP aufzunehmen:

1. Tabellenname: JuniperIDP_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Geben Sie diesen Dateinamen und Pfad in das Feld "Dateimuster " im Verbinder oder anstelle des Platzhalters {LOCAL_PATH_FILE} im DCR ein.

3. Konfigurieren Sie den Syslog-Daemon, um seine JuniperIDP-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   rsyslog

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte. <> LOG_FILE_NAME ist die Datei, die Sie in Schritt 2 erstellt haben.)

   2. Starten Sie rsyslog neu. Die typische Befehlssyntax lautet systemctl restart rsyslog.

   syslog-ng

   1. Bearbeiten Sie die Konfigurationsdatei /etc/syslog-ng/conf.d, und fügen Sie die folgenden Bedingungen hinzu:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   2. Starten Sie syslog-ng neu. Die typische Befehlssyntax lautet systemctl restart syslog-ng.

4. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie die {TABLE_NAME} Platzhalter {LOCAL_PATH_FILE} in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

   • Ersetzen Sie den transformKql-Wert "source" durch die folgende Kusto-Abfrage (in doppelte Anführungszeichen eingeschlossen):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Die Anweisungen zum Konfigurieren der Juniper IDP-Appliance zum Senden von Syslog-Nachrichten an einen externen Server finden Sie unter SRX Getting Started – Configure System Logging..

Zurück nach oben

MarkLogic Audit

Führen Sie die folgenden Schritte aus, um Protokollmeldungen aus der MarkLogic-Überwachung aufzunehmen:

1. Tabellenname: MarkLogicAudit_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Konfigurieren Der MarkLogic-Überwachung, um das Schreiben von Protokollen zu ermöglichen: (aus der MarkLogic-Dokumentation)

   1. Navigieren Sie mit Ihrem Browser zur MarkLogic Admin-Schnittstelle.
   2. Öffnen Sie den Bildschirm "Überwachungskonfiguration" unter "Gruppen > group_name > Überwachung".
   3. Aktivieren Sie das Optionsfeld "Überwachung aktiviert". Stellen Sie sicher, dass sie aktiviert ist.
   4. Konfigurieren Sie das Überwachungsereignis und/oder die gewünschten Einschränkungen.
   5. Überprüfen Sie, indem Sie "OK" auswählen.
   6. Weitere Details und Konfigurationsoptionen finden Sie in der MarkLogic-Dokumentation.

Zurück nach oben

MongoDB Audit

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus der MongoDB-Überwachung aufzunehmen:

1. Tabellenname: MongoDBAudit_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Konfigurieren Sie MongoDB zum Schreiben von Protokollen:

   1. Bearbeiten Sie für Windows die Konfigurationsdatei mongod.cfg. Für Linux, mongod.conf.
   2. Setzen Sie den dbpath-Parameter auf data/db.
   3. Setzen Sie den path-Parameter auf /data/db/auditlog.json.
   4. Weitere Parameter und Details finden Sie in der MongoDB-Dokumentation.

Zurück nach oben

NGINX-HTTP-Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten vom NGINX-HTTP-Server aufzunehmen:

1. Tabellenname: NGINX_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

Oracle WebLogic Server

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Oracle WebLogic Server aufzunehmen:

1. Tabellenname: OracleWebLogicServer_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

PostgreSQL-Ereignisse

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von PostgreSQL-Ereignissen aufzunehmen:

1. Tabellenname: PostgreSQL_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

4. Bearbeiten Sie die Konfigurationsdatei postgresql.conf für PostgreSQL-Ereignisse, um Protokolle in Dateien auszugeben.

   1. Legen Sie log_destination='stderr' fest.
   2. Legen Sie logging_collector=on fest.
   3. Weitere Parameter und Details finden Sie in der PostgreSQL-Dokumentation.

Zurück nach oben

SecurityBridge-Bedrohungserkennung für SAP

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von SecurityBridge Threat Detection für SAP aufzunehmen:

1. Tabellenname: SecurityBridgeLogs_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

SquidProxy

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von SquidProxy aufzunehmen:

1. Tabellenname: SquidProxy_CL

2. Protokollspeicherort: Protokolle werden als Textdateien auf dem Hostcomputer der Anwendung gespeichert. Installieren Sie das AMA auf demselben Computer, um die Dateien zu sammeln.

   Standarddateispeicherorte ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   Ersetzen Sie die Platzhalter "{TABLE_NAME}" und "{LOCAL_PATH_FILE}" in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

Zurück nach oben

Ubiquiti UniFi

Führen Sie die folgenden Schritte aus, um Protokollnachrichten von Ubiquiti UniFi aufzunehmen:

1. Tabellenname: Ubiquiti_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Geben Sie diesen Dateinamen und Pfad in das Feld "Dateimuster " im Verbinder oder anstelle des Platzhalters {LOCAL_PATH_FILE} im DCR ein.

3. Konfigurieren Sie den Syslog-Daemon, um seine Ubiquiti-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   rsyslog

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte. <> LOG_FILE_NAME ist die Datei, die Sie in Schritt 2 erstellt haben.)

   2. Starten Sie rsyslog neu. Die typische Befehlssyntax lautet systemctl restart rsyslog.

   syslog-ng

   1. Bearbeiten Sie die Konfigurationsdatei /etc/syslog-ng/conf.d, und fügen Sie die folgenden Bedingungen hinzu:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   2. Starten Sie syslog-ng neu. Die typische Befehlssyntax lautet systemctl restart syslog-ng.

4. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Ersetzen Sie die {TABLE_NAME} Platzhalter {LOCAL_PATH_FILE} in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und verbinden Sie den Ubiquiti-Controller.

   1. Folgen Sie den Anweisungen von Ubiquiti , um syslog und optional Debuggingprotokolle zu aktivieren.
   2. Wählen Sie "Einstellungen > System Settings System Settings > Controller Configuration > Remote Logging" aus, und aktivieren Sie syslog.

Zurück nach oben

VMware vCenter

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus VMware vCenter aufzunehmen:

1. Tabellenname: vcenter_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Geben Sie diesen Dateinamen und Pfad in das Feld "Dateimuster " im Verbinder oder anstelle des Platzhalters {LOCAL_PATH_FILE} im DCR ein.

3. Konfigurieren Sie den Syslog-Daemon, um seine vCenter-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   rsyslog

   1. Bearbeiten Sie die Konfigurationsdatei /etc/rsyslog.conf , um die folgende Vorlagenzeile vor dem Direktivenabschnitt hinzuzufügen:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon, gespeichert unter /etc/rsyslog.d/10-vcenter.conf den folgenden Filterbedingungen:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   3. Starten Sie rsyslog neu. Die typische Befehlssyntax lautet sudo systemctl restart rsyslog.

   syslog-ng

   1. Bearbeiten Sie die Konfigurationsdatei /etc/syslog-ng/conf.d, und fügen Sie die folgenden Filterbedingungen hinzu:

      filter f_vcenter {
          message("vpxd") or message("vcenter-server"); 
      }; 
      
      destination d_vcenter { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_vcenter); 
          destination(d_vcenter); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   2. Starten Sie syslog-ng neu. Die typische Befehlssyntax lautet systemctl restart syslog-ng.

4. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Ersetzen Sie die {TABLE_NAME} Platzhalter {LOCAL_PATH_FILE} in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

   • dataCollectionEndpointId sollte mit Dem DCE aufgefüllt werden. Wenn Sie keins haben, definieren Sie eine neue. Anweisungen finden Sie unter Erstellen eines Datensammlungsendpunkts .

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und Verbinden der vCenter-Geräte.

   1. Folgen Sie den Anweisungen von VMware zum Senden von Syslog-Nachrichten.
   2. Verwenden Sie die IP-Adresse oder den Hostnamen des Computers, auf dem der Azure Monitor-Agent installiert ist.

Zurück nach oben

Zscaler Private Access (ZPA)

Führen Sie die folgenden Schritte aus, um Protokollnachrichten aus Zscaler Private Access (ZPA) aufzunehmen:

1. Tabellenname: ZPA_CL

2. Protokollspeicherort: Erstellen Sie eine Protokolldatei auf Ihrem externen Syslog-Server. Erteilen Sie der Syslog-Daemon Schreibberechtigungen für die Datei. Installieren Sie die AMA auf dem externen Syslog-Server, wenn sie noch nicht installiert ist. Geben Sie diesen Dateinamen und Pfad in das Feld "Dateimuster " im Verbinder oder anstelle des Platzhalters {LOCAL_PATH_FILE} im DCR ein.

3. Konfigurieren Sie den Syslog-Daemon, um seine ZPA-Protokollnachrichten in eine temporäre Textdatei zu exportieren, damit die AMA sie sammeln kann.

   rsyslog

   1. Erstellen Sie eine benutzerdefinierte Konfigurationsdatei für den rsyslog-Daemon im /etc/rsyslog.d/ Ordner mit den folgenden Filterbedingungen:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersetzen Sie <parameters> durch die tatsächlichen Namen der dargestellten Objekte.)

   2. Starten Sie rsyslog neu. Die typische Befehlssyntax lautet systemctl restart rsyslog.

   syslog-ng

   1. Bearbeiten Sie die Konfigurationsdatei /etc/syslog-ng/conf.d, und fügen Sie die folgenden Bedingungen hinzu:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersetzen Sie <LOG_FILE_NAME> den Namen der von Ihnen erstellten Protokolldatei.)

   2. Starten Sie syslog-ng neu. Die typische Befehlssyntax lautet systemctl restart syslog-ng.

4. Erstellen Sie den DCR gemäß den Anweisungen in "Protokolle sammeln" aus Textdateien mit dem Azure Monitor Agent und der Aufnahme an Microsoft Sentinel.

   • Ersetzen Sie den Spaltennamen "RawData" durch den Spaltennamen "Message".

   • Ersetzen Sie den transformKql-Wert "source" durch den Wert "source | project-rename Message=RawData".

   • Ersetzen Sie die {TABLE_NAME} Platzhalter {LOCAL_PATH_FILE} in der DCR-Vorlage durch die Werte in den Schritten 1 und 2. Ersetzen Sie die anderen Platzhalter wie weitergeleitet.

5. Konfigurieren Sie den Computer, auf dem der Azure Monitor-Agent installiert ist, um die Syslog-Ports zu öffnen, und konfigurieren Sie dort den Syslog-Daemon, um Nachrichten aus externen Quellen zu akzeptieren. Ausführliche Anweisungen und ein Skript zum Automatisieren dieser Konfiguration finden Sie unter Konfigurieren der Protokollweiterleitung, um Protokolle zu akzeptieren.

6. Konfigurieren und Verbinden des ZPA-Empfängers

   1. Folgen Sie den Anweisungen von ZPA. Wählen Sie JSON als Protokollvorlage aus.
   2. Wählen Sie "Einstellungen > System Settings System Settings > Controller Configuration > Remote Logging" aus, und aktivieren Sie syslog.

Zurück nach oben

Zugehöriger Inhalt

• Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent
• Microsoft Sentinel-Connectors „Syslog über AMA“ und „CEF (Common Event Format) über AMA“