Megosztás a következőn keresztül:

[Elavult] VMware vCenter-összekötő a Microsoft Sentinelhez

  • Cikk

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

A vCenter-összekötővel egyszerűen csatlakoztathatja a vCenter-kiszolgálónaplókat a Microsoft Sentinelhez. Ez további betekintést nyújt a szervezet adatközpontjaiba, és javítja a biztonsági műveleti képességeket.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) vcenter_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Összes esemény eseménytípus szerint

vCenter 

| summarize count() by EventType

bejelentkezés/kijelentkezés a vCenter Serverre

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Előfeltételek

Az [Elavult] VMware vCenterrel való integráláshoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • Egyéni előfeltételek belefoglalása, ha a kapcsolat megköveteli – másként törölje a vámokat: Az egyéni előfeltételek leírása

Szállító telepítési útmutatója

MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, és keresse meg a VMware vCenter aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a VMware vCenter-eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

  1. Ha még nem telepítette a vCenter-megoldást a ContentHubról, akkor a Kusto függvény aliasának, a vCenternek a használatához kövesse a lépéseket.
  1. Az ügynök telepítése és előkészítése Linuxhoz

Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.

A syslog-naplók csak Linux-ügynököktől gyűjthetők.

  1. A gyűjtendő naplók konfigurálása

Kövesse az alábbi konfigurációs lépéseket a vCenter-kiszolgálói naplók Microsoft Sentinelbe való lekéréséhez. További részletekért tekintse meg az Azure Monitor dokumentációját . A vCenter Server-naplók esetében problémákat tapasztalunk az adatok OMS-ügynökadatok alapján történő elemzésekor az alapértelmezett beállítások használatával. Ezért javasoljuk, hogy rögzítse a naplókat egyéni táblázatba vcenter_CL az alábbi utasítások használatával.

  1. Jelentkezzen be arra a kiszolgálóra, ahol telepítette az OMS-ügynököt.

  2. Konfigurációs fájl letöltése vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Másolja a vcenter.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. A vcenter.conf szerkesztése az alábbiak szerint:

    a. A vcenter.conf alapértelmezés szerint a 22033-at használja. Győződjön meg arról, hogy ezt a portot más forrás nem használja a kiszolgálón

    b. Ha módosítani szeretné a vcenter.conf alapértelmezett portját, győződjön meg arról, hogy nem használja az alapértelmezett Azure monotoring /log analitikus ügynökportokat. (Például a CEF a 25226-os vagy a 25224-ös TCP-portot használja)

    c. cserélje le workspace_id a munkaterület-azonosító valós értékére (13.14.15.18. sor)

  5. Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Modify /etc/rsyslog.conf file - add below template lehetőleg az elején / előtt irányelvek szakasz

     $template vcenter,"%timestamp% %hostname% %msg%\ n"

Megjegyzés – A fenti parancsban nincs térköz a perjel(\) és az "n" karakter között.

  1. Hozzon létre egy egyéni conf fájlt a /etc/rsyslog.d/ fájlban, például a 10-vcenter.conf fájlban, és adja hozzá a következő szűrőfeltételeket.

10-vCenter.conf konfigurációs fájl letöltése

 With an added statement you will need to create a filter which will specify the logs coming from the vcenter server to be forwarded to the custom table.

 reference: [Filter Conditions — rsyslog 8.18.0.master documentation](https://rsyslog.readthedocs.io/en/latest/configuration/filters.html)

 Here is an example of filtering that can be defined, this is not complete and will require additional testing for each installation.
	 if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
	 & stop 
	 if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
	 & stop

  1. Rsyslog systemctl restart rsyslog újraindítása

  2. A vCenter-eszköz(ek) konfigurálása és csatlakoztatása

Az alábbi utasításokat követve konfigurálhatja a vCentert a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.