[En desuso] Conector MarkLogic Audit para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector de datos MarkLogic proporciona la capacidad de ingerir registros de MarkLogicAudit en Microsoft Sentinel. Consulte la documentación de MarkLogic para obtener más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | MarkLogicAudit_CL |
Soporte de reglas de recopilación de datos | No se admite actualmente. |
Compatible con | Microsoft Corporation |
Ejemplos de consultas
MarkLogicAudit: todas las actividades.
MarkLogicAudit_CL
| sort by TimeGenerated desc
Instrucciones de instalación del proveedor
NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de función en el análisis de registros, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones, busque el alias MarkLogicAudit y cargue el código de la función o haga clic aquí. En la segunda línea de la consulta, escribe los nombres de host de los dispositivos MarkLogicAudit y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor de Tomcat donde se generan los registros.
Los registros del servidor de MarkLogic implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.
- Configuración de MarkLogicAudit para habilitar la auditoría
Siga los pasos siguientes para habilitar la auditoría de un grupo:
Acceda a la interfaz de Administración con un explorador;
Abra la pantalla Configuración de auditoría (Grupos > group_name > Auditoría);
Seleccione True en el botón de radio Audit Enabled;
Configure los eventos de auditoría o las restricciones de auditoría que quiera;
Haga clic en Aceptar.
Consulte la documentación de MarkLogic para obtener más información.
- Configure los registros que se van a recopilar.
Permite configurar el directorio de registros personalizados que se debe recopilar.
- Seleccione el vínculo anterior para abrir la configuración avanzada del área de trabajo.
- En el panel izquierdo, seleccione Configuración, seleccione Registros personalizados y haga clic en +Agregar registro personalizado.
- Haga clic en Examinar para cargar un ejemplo de un archivo de registro de MarkLogicAudit. Después, haga clic en Siguiente>
- Seleccione Marca de tiempo como delimitador de registros y haga clic en Siguiente >.
- Seleccione Windows o Linux y escriba la ruta de acceso a los registros de MarkLogicAudit en función de la configuración.
- Después de escribir la ruta de acceso, haga clic en el símbolo "+" que se va a aplicar y, a continuación, haga clic en Siguiente >
- Agregue MarkLogicAudit como nombre de registro personalizado (el sufijo "_CL" se agregará automáticamente) y haga clic en Listo.
Validar conectividad
Hasta que los registros empiecen a aparecer en Microsoft Sentinel, pueden transcurrir más de 20 minutos.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.