Syslog über AMA-Datenconnector – Konfigurieren spezieller Appliances oder Geräte für die Microsoft Sentinel-Datenerfassung
Die Protokollsammlung von vielen Sicherheitsgeräten und Geräten wird vom Syslog über den AMA-Datenconnector in Microsoft Sentinel unterstützt. In diesem Artikel werden Installationsanweisungen für bestimmte Sicherheitsgeräte und Geräte aufgeführt, die diesen Datenkonnektor verwenden. Wenden Sie sich an den Anbieter, um Updates, weitere Informationen zu erhalten oder wenn Informationen für Ihre Sicherheitsanwendung oder Ihr Gerät nicht verfügbar sind.
Führen Sie die Schritte zum Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent aus, um Daten an Ihren Log Analytics-Arbeitsbereich für Microsoft Sentinel weiterzuleiten. Wenn Sie diese Schritte ausführen, installieren Sie syslog über den AMA-Datenconnector in Microsoft Sentinel. Verwenden Sie dann die Anweisungen des entsprechenden Anbieters in diesem Artikel, um die Einrichtung abzuschließen.
Weitere Informationen zur zugehörigen Microsoft Sentinel-Lösung für jede dieser Appliances oder Geräte finden Sie im Azure Marketplace nach den Produkttyplösungsvorlagen>, oder überprüfen Sie die Lösung über den Inhaltshub in Microsoft Sentinel.
Barracuda CloudGen Firewall
Befolgen Sie die Anweisungen zum Konfigurieren des Syslog-Streamings. Verwenden Sie die IP-Adresse oder den Hostnamen für den Linux-Computer, auf dem der Microsoft Sentinel-Agent für die Ziel-IP-Adresse installiert ist.
Blackberry CylancePROTECT
Befolgen Sie diese Anweisungen, um CylancePROTECT für die Weiterleitung an syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Cisco Application Centric Infrastructure (ACI)
Konfigurieren Sie das Cisco ACI-System so, dass Protokolle über Syslog an den Remoteserver gesendet werden, auf dem Sie den Agent installieren. Führen Sie die folgenden Schritte aus, um syslog Destination, Destination Group und Syslog Source zu konfigurieren.
Dieser Datenconnector wurde mit Cisco ACI Release 1.x entwickelt.
Cisco Identity Services Engine (ISE)
Befolgen Sie diese Anweisungen, um die Remotestandorte für die Syslog-Erfassung in Ihrer Cisco ISE-Bereitstellung zu konfigurieren.
Cisco Stealthwatch
Führen Sie die folgenden Konfigurationsschritte aus, um Cisco Stealthwatch-Protokolle in Microsoft Sentinel abzurufen.
Melden Sie sich als Administrator bei der Stealthwatch Management Console (SMC) an.
Wählen Sie in der Menüleiste "Konfigurationsantwortverwaltung">aus.
Wählen Sie im Abschnitt "Aktionen" im Menü "Antwortverwaltung" die Option "Syslog-Nachricht hinzufügen>" aus.
Konfigurieren Sie im Fenster "Syslog-Nachrichtenaktion hinzufügen" Parameter.
Geben Sie das folgende benutzerdefinierte Format ein:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Wählen Sie das benutzerdefinierte Format aus der Liste und OK aus.
Wählen Sie "Antwortverwaltungsregeln > " aus.
Wählen Sie "Hinzufügen " und "Hostalarm" aus.
Geben Sie im Feld Name einen Namen für die Regel an.
Erstellen Sie Regeln, indem Sie Werte aus den Menüs "Typ " und "Optionen " auswählen. Um weitere Regeln hinzuzufügen, wählen Sie das Auslassungszeichen aus. Kombinieren Sie für einen Host alarm so viele mögliche Typen in einer Anweisung wie möglich.
Dieser Datenconnector wurde mit Cisco Stealthwatch Version 7.3.2 entwickelt.
Cisco Unified Computing Systems (UCS)
Befolgen Sie diese Anweisungen, um Cisco UCS für die Weiterleitung an Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um in Log Analytics auf den Funktionscode zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias CiscoUCS. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Cisco Web Security Appliance (WSA)
Konfigurieren Sie Cisco so, dass Protokolle über Syslog an den Remoteserver weitergeleitet werden, auf dem Sie den Agent installieren. Führen Sie die folgenden Schritte aus, um Cisco WSA so zu konfigurieren, dass Protokolle über Syslog weitergeleitet werden.
Wählen Sie Syslog Push als Abrufmethode aus.
Dieser Datenconnector wurde mit AsyncOS 14.0 für Cisco Web Security Appliance entwickelt.
Citrix Application Delivery Controller (ADC)
Konfigurieren Sie Citrix ADC (früher NetScaler), um Protokolle über Syslog weiterzuleiten.
- Navigieren Sie zur Registerkarte 'Systemüberwachungsserver' auf der Registerkarte '>Systemüberwachungsserver > > >'
- Geben Sie den Syslog-Aktionsnamen an.
- Legen Sie die IP-Adresse des Remote-Syslog-Servers und -Ports fest.
- Legen Sie den Transporttyp je nach Konfiguration des Remote syslog-Servers als TCP oder UDP fest.
- Weitere Informationen finden Sie in der Citrix ADC-Dokumentation (frühere NetScaler).
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt. Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias CitrixADCEvent. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Dieser Parser erfordert eine Watchlist mit dem Namen Sources_by_SourceType
.
i. Wenn Sie noch keine Watchlist erstellt haben, erstellen Sie eine Watchlist aus Microsoft Sentinel im Azure-Portal.
ii. Öffnen Sie die Watchlist Sources_by_SourceType
und fügen Sie Einträge für diese Datenquelle hinzu.
ii. Der SourceType-Wert für CitrixADC lautet CitrixADC
.
Weitere Informationen finden Sie unter Manage Advanced Security Information Model (ASIM)-Parser.
Digital Guardian Data Loss Prevention
Führen Sie die folgenden Schritte aus, um Digital Guardian so zu konfigurieren, dass Protokolle über Syslog weitergeleitet werden:
- Melden Sie sich bei der Digital Guardian Management Console an.
- Wählen Sie Workspace>Data Export>Create Export (Arbeitsbereich > Datenexport > Export erstellen) aus.
- Wählen Sie in der Liste Data Sources (Datenquellen) Alerts (Warnungen) oder Events (Ereignisse) als Datenquelle aus.
- Wählen Sie aus der Liste Export type (Exporttyp) die Option Syslog aus.
- Wählen Sie in der Typliste UDP oder TCP als Transportprotokoll aus.
- Geben Sie im Feld "Server " die IP-Adresse Ihres Remote-Syslog-Servers ein.
- Geben Sie im Feld "Port " den Typ 514 (oder einen anderen Port ein, wenn Ihr Syslog-Server für die Verwendung nicht standardmäßiger Port konfiguriert wurde).
- Wählen Sie in der Liste Severity Level (Schweregrad) einen Schweregrad aus.
- Aktivieren Sie das Kontrollkästchen Is Active (Ist aktiv).
- Wählen Sie Weiter aus.
- Fügen Sie aus der Liste der verfügbaren Felder die Felder „Alert“ (Warnung) oder „Event“ (Ereignis) für den Datenexport hinzu.
- Wählen Sie ein Kriterium für die Felder im Datenexport und "Weiter" aus.
- Wählen Sie eine Gruppe für die Kriterien und "Weiter" aus.
- Wählen Sie "Testabfrage" aus.
- Wählen Sie Weiter aus.
- Speichern Sie den Datenexport.
ESET Protect-Integration
Konfigurieren Sie ESET PROTECT so, dass alle Ereignisse über Syslog gesendet werden.
- Befolgen Sie diese Anweisungen, um die Syslog-Ausgabe zu konfigurieren. Achten Sie darauf, BSD als Format und TCP als Transport auszuwählen.
- Befolgen Sie diese Anweisungen, um alle Protokolle in Syslog zu exportieren. Wählen Sie JSON als Ausgabeformat aus.
Exabeam Advanced Analytics
Befolgen Sie diese Anweisungen, um Exabeam Advanced Analytics-Aktivitätsprotokolldaten über Syslog zu senden.
Dieser Datenconnector wurde mit Exabeam Advanced Analytics i54 (Syslog) entwickelt.
Forescout
Führen Sie die folgenden Schritte aus, um Forefinder-Protokolle in Microsoft Sentinel abzurufen.
- Wählen Sie eine zu konfigurierende Appliance aus.
- Gehen Sie wie hier beschrieben vor, um Warnungen von der Forescout-Plattform an einen Syslog-Server weiterzuleiten.
- Konfigurieren Sie die Einstellungen auf der Registerkarte "Syslog Triggers ".
Dieser Datenconnector wurde mit der Version des Forefinder Syslog Plug-Ins entwickelt: v3.6
Gitlab
Befolgen Sie diese Anweisungen , um Gitlab-Überwachungsprotokolldaten über Syslog zu senden.
ISC Bind
- Führen Sie die folgenden Anweisungen aus, um die ISC-Bindung zum Weiterleiten von Syslog zu konfigurieren: DNS-Protokolle.
- Konfigurieren Sie syslog so, dass der Syslog-Datenverkehr an den Agent gesendet wird. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Infoblox Network Identity Operating System (NIOS)
Befolgen Sie diese Anweisungen, um die Syslog-Weiterleitung von Infoblox NIOS-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias "Infoblox". Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Dieser Parser erfordert eine Watchlist mit dem Namen Sources_by_SourceType
.
i. Wenn Sie noch keine Watchlist erstellt haben, erstellen Sie eine Watchlist aus Microsoft Sentinel im Azure-Portal.
ii. Öffnen Sie die Watchlist Sources_by_SourceType
und fügen Sie Einträge für diese Datenquelle hinzu.
ii. Der SourceType-Wert für InfobloxNIOS lautet InfobloxNIOS
.
Weitere Informationen finden Sie unter Manage Advanced Security Information Model (ASIM)-Parser.
Ivanti Unified Endpoint Management
Befolgen Sie die Anweisungen zum Einrichten von Warnungsaktionen, um Protokolle an den Syslog-Server zu senden.
Dieser Datenconnector wurde mit Ivanti Unified Endpoint Management Release 2021.1 Version 11.0.3.374 entwickelt.
Juniper SRX
Führen Sie die folgenden Anweisungen aus, um den Juniper SRX so zu konfigurieren, dass syslog weitergeleitet wird:
Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
McAfee Network Security Platform
Führen Sie die folgenden Konfigurationsschritte aus, um McAfee® Network Security Platform-Protokolle in Microsoft Sentinel abzurufen.
Leiten Sie Warnungen vom Manager an einen Syslog-Server weiter.
Sie müssen ein Syslog-Benachrichtigungsprofil hinzufügen. Wenn Sie beim Erstellen des Profils sicherstellen möchten, dass Ereignisse korrekt formatiert sind, geben Sie den folgenden Text in das Textfeld "Nachricht" ein:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID
|ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE
|SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY
|DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Dieser Datenconnector wurde mit mcAfee® Network Security Platform Version: 10.1.x entwickelt.
McAfee ePolicy Orchestrator
Wenden Sie sich an den Anbieter, um Anleitungen zum Registrieren eines Syslog-Servers zu erhalten.
Microsoft Sysmon für Linux
Dieser Datenconnector benötigt ASIM-Parser, die auf einer Kusto-Funktion basieren, damit er wie erwartet funktioniert. Stellen Sie die Parser bereit.
Die folgenden Funktionen werden bereitgestellt:
- vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
- vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
- vimNetworkSessionLinuxSysmon
Nasuni
Befolgen Sie die Anweisungen im Leitfaden zur Nasuni-Verwaltungskonsole, um Nasuni Edge Appliance für die Weiterleitung von Syslog-Ereignissen zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen des Linux-Geräts, auf dem der Azure Monitor-Agent ausgeführt wird, im Feld „Serverkonfiguration“ für die Syslog-Einstellungen.
OpenVPN
Installieren Sie den Agent auf dem Server, auf dem openVPN weitergeleitet wird. OpenVPN-Serverprotokolle werden in gängige Syslog-Datei geschrieben (abhängig von der verwendeten Linux-Verteilung: z. B. /var/log/messages).
Oracle Database Audit
Führen Sie die folgenden Schritte aus.
- Erstellen Sie die Oracle-Datenbank. Führen Sie die folgenden Schritte aus.
- Melden Sie sich bei der von Ihnen erstellten Oracle-Datenbank an. Führen Sie diese Schritte aus.
- Aktivieren Sie die einheitliche Protokollierung über Syslog, indem Sie das System ändern, um die einheitliche Protokollierung zu aktivieren. Führen Sie die folgenden Schritte aus.
- Erstellen und aktivieren Sie eine Überwachungsrichtlinie für die einheitliche Überwachung. Führen Sie die folgenden Schritte aus.
- Aktivieren Sie Syslog- und Ereignisanzeige-Captures für den einheitlichen Überwachungspfad. Führen Sie die folgenden Schritte aus.
Pulse Connect Secure
Befolgen Sie die Anweisungen, um Syslog-Streaming von Pulse Connect Secure-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias PulseConnectSecure. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
RSA SecurID
Führen Sie die folgenden Schritte aus, um RSA® SecurID Authentication Manager-Protokolle in Microsoft Sentinel abzurufen. Gehen Sie wie hier beschrieben vor, um Warnungen vom Manager an einen Syslog-Server weiterzuleiten.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias RSASecurIDAMEvent. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Dieser Datenconnector wurde mit RSA SecurID Authentication Manager Version: 8.4 und 8.5 entwickelt.
Sophos XG Firewall
Befolgen Sie diese Anweisungen, um das Syslog-Streaming zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen. Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias "SophosXGFirewall". Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Symantec Endpoint Protection
Befolgen Sie diese Anweisungen, um Symantec Endpoint Protection für die Syslog-Weiterleitung zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen. Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias SymantecEndpointProtection. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Symantec ProxySG
Melden Sie sich bei der Blue Coat Management Console an.
Wählen Sie "Konfigurationszugriffsprotokollierungsformate>>" aus.
Wählen Sie Neu aus.
Geben Sie einen eindeutigen Namen in das Feld "Formatname " ein.
Wählen Sie das Optionsfeld für die benutzerdefinierte Formatzeichenfolge aus, und fügen Sie die folgende Zeichenfolge in das Feld ein.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Wählen Sie OK aus.
Wählen Sie "Übernehmen" n aus.
Befolgen Sie diese Anweisungen , um das Syslog-Streaming von Access-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias SymantecProxySG. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
Symantec VIP
Befolgen Sie diese Anweisungen, um Symantec VIP Enterprise Gateway für die Weiterleitung von Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias SymantecVIP. Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
VMware ESXi
Befolgen Sie diese Anweisungen, um VMware ESXi für die Weiterleitung an syslog zu konfigurieren:
Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Hinweis
Die Funktionalität dieses Datenkonnektors ist auf einen kusto Function-basierten Parser angewiesen, der für seinen Betrieb integral ist. Dieser Parser wird als Teil der Lösungsinstallation bereitgestellt.
Aktualisieren Sie den Parser, und geben Sie den Hostnamen der Quellcomputer an, die die Protokolle in der ersten Zeile des Parsers übertragen.
Um auf den Funktionscode in Log Analytics zuzugreifen, navigieren Sie zum Abschnitt "Log Analytics/Microsoft Sentinel Logs", wählen Sie "Funktionen" aus, und suchen Sie nach dem Alias "VMwareESXi". Alternativ können Sie den Funktionscode direkt laden. Es kann etwa 15 Minuten nach der Installation dauern, bis die Aktualisierung erfolgt.
WatchGuard Firebox
Befolgen Sie diese Anweisungen , um WatchGuard Firebox-Protokolldaten über syslog zu senden.