A CEF- vagy Syslog-adatösszekötő hibaelhárítása
Figyelemfelhívás
Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Ez a cikk a Microsoft Sentinel CEF- vagy Syslog-adatösszekötőjének ellenőrzésére és hibaelhárítására szolgáló gyakori módszereket ismerteti.
Ha például a naplók nem jelennek meg a Microsoft Sentinelben, akár a Syslogban, akár a Common Security Log táblában, előfordulhat, hogy az adatforrás nem tud csatlakozni, vagy más oka lehet annak, hogy az adatok nem lesznek betöltve.
A sikertelen összekötő üzembe helyezésének egyéb tünetei közé tartozik, ha hiányzik a security_events.conf vagy a security-omsagent.config.conf fájl, vagy ha az rsyslog-kiszolgáló nem figyeli az 514-s portot.
További információ: Csatlakozás a külső megoldás a Common Event Format használatával, és adatok gyűjtése Linux-alapú forrásokból a Syslog használatával.
Ha az összekötőt a dokumentált eljárástól eltérő módszerrel telepítette, és problémákat tapasztal, javasoljuk, hogy törölje az üzembe helyezést, és telepítse újra a dokumentált módon.
Ez a cikk bemutatja, hogyan háríthatja el a CEF- vagy Syslog-összekötőket a Log Analytics-ügynökkel. A CEF-naplók Azure Monitor Agenten (AMA) keresztüli betöltésével kapcsolatos hibaelhárítási információkért tekintse át a Common Event Format (CEF) szolgáltatást az AMA-összekötő utasításain keresztül.
Fontos
2023. február 28-án bevezettük a CommonSecurityLog táblaséma módosításait. A módosítást követően előfordulhat, hogy át kell tekintenie és frissítenie kell az egyéni lekérdezéseket. További részletekért tekintse meg az ajánlott műveletek szakaszt ebben a blogbejegyzésben. A Microsoft Sentinel frissítette a beépített tartalmakat (észleléseket, keresési lekérdezéseket, munkafüzeteket, elemzőket stb.).
A cikk használata
Ha a cikkben szereplő információk csak a Syslog vagy csak a CEF-összekötők esetében relevánsak, lapfülekbe rendeztük a lapot. Győződjön meg arról, hogy az összekötő típusának megfelelő lapon található utasításokat használja.
Ha például egy CEF-összekötő hibaelhárítását szeretné végezni, kezdje a CEF-kapcsolat ellenőrzésével. Syslog-összekötő hibaelhárítása esetén kezdje az alábbiakban az adatösszekötő előfeltételeinek ellenőrzésével.
CEF-kapcsolat ellenőrzése
Miután üzembe helyezte a naplótovábbítót , és konfigurálta a biztonsági megoldást CEF-üzenetek küldésére, az ebben a szakaszban ismertetett lépésekkel ellenőrizheti a biztonsági megoldás és a Microsoft Sentinel közötti kapcsolatot.
Ez az eljárás csak CEF-kapcsolatok esetében releváns, és a Syslog-kapcsolatok esetében nem releváns.
Győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Emelt szintű engedélyekkel (sudo) kell rendelkeznie a naplótovábbító gépen.
A python 2.7-nek vagy 3-nak telepítve kell lennie a naplótovábbító gépen. Az ellenőrzéshez használja a
python --version
parancsot.A folyamat egy pontján szükség lehet a munkaterület azonosítójára és a munkaterület elsődleges kulcsára. Ezeket a munkaterület erőforrásában, az Ügynökök kezelése területen találja meg.
A Microsoft Sentinel navigációs menüjében nyissa meg a Naplókat. Futtasson egy lekérdezést a CommonSecurityLog-sémával , és ellenőrizze, hogy kap-e naplókat a biztonsági megoldástól.
Körülbelül 20 percig tarthat, amíg a naplók megjelennek a Log Analyticsben.
Ha nem látja a lekérdezés eredményeit, ellenőrizze, hogy az események a biztonsági megoldásból jönnek-e létre, vagy próbáljon-e létrehozni néhányat, és ellenőrizze, hogy a rendszer továbbítja-e őket a kijelölt Syslog-továbbító gépre.
Futtassa a következő szkriptet a naplótovábbítón (a helyőrző helyett alkalmazza a munkaterület-azonosítót) a biztonsági megoldás, a naplótovábbító és a Microsoft Sentinel közötti kapcsolat ellenőrzéséhez. Ez a szkript ellenőrzi, hogy a démon figyeli-e a megfelelő portokat, hogy a továbbítás megfelelően van-e konfigurálva, és hogy semmi sem blokkolja a démon és a Log Analytics-ügynök közötti kommunikációt. A "TestCommonEventFormat" utánzatüzeneteket is küld a végpontok közötti kapcsolat ellenőrzéséhez.
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]
Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Számítógép mező leképezésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az érvényesítési szkript magyarázatát.
Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Cisco ASA tűzfalnaplóinak elemzésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az érvényesítési szkript magyarázatát.
CEF-érvényesítési szkript magyarázata
A következő szakasz a CEF érvényesítési szkriptet ismerteti az rsyslog démon és a syslog-ng démon esetében.
rsyslog démon
Az rsyslog démon esetében a CEF érvényesítési szkript a következő ellenőrzéseket futtatja:
Ellenőrzi, hogy a fájl
/etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
létezik és érvényes.Ellenőrzi, hogy a fájl tartalmazza-e a következő szöveget:
<source> type syslog port 25226 bind 127.0.0.1 protocol_type tcp tag oms.security format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/ <parse> message_format auto </parse> </source> <filter oms.security.**> type filter_syslog_security </filter>
Ellenőrzi, hogy a Cisco ASA tűzfalesemények elemzése a várt módon van-e konfigurálva a következő paranccsal:
grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb
Ha probléma van az elemzéssel, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja az ügynök megfelelő elemzését és újraindítását.
# Cisco ASA parsing fix sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy a Syslog-forrás Számítógép mezőjét megfelelően leképezte-e a Log Analytics-ügynök a következő paranccsal:
grep -i "'Host' => record\['host'\]" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.
# Computer field mapping fix sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy vannak-e olyan biztonsági fejlesztések a gépen, amelyek blokkolhatják a hálózati forgalmat (például a gazdagép tűzfalát).
Ellenőrzi, hogy a syslog démon (rsyslog) megfelelően van-e konfigurálva arra, hogy üzeneteket küldjön a Log Analytics-ügynöknek a 25226-os TCP-porton:
Konfigurációs fájl:
/etc/rsyslog.d/security-config-omsagent.conf
if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226
Újraindítja a syslog démont és a Log Analytics-ügynököt:
service rsyslog restart /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy létrejöttek-e a szükséges kapcsolatok: tcp 514 az adatok fogadásához, tcp 25226 a syslog démon és a Log Analytics-ügynök közötti belső kommunikációhoz:
netstat -an | grep 514 netstat -an | grep 25226
Ellenőrzi, hogy a syslog démon adatokat fogad-e az 514-ös porton, és hogy az ügynök adatokat fogad-e a 25226-os porton:
sudo tcpdump -A -ni any port 514 -vv sudo tcpdump -A -ni any port 25226 -vv
MOCK-adatokat küld az 514-ös portra a localhoston. Ezeket az adatokat a Microsoft Sentinel munkaterületen az alábbi lekérdezés futtatásával kell megfigyelni:
CommonSecurityLog | where DeviceProduct == "MOCK"
syslog-ng démon
Syslog-ng démon esetén a CEF érvényesítési szkript a következő ellenőrzéseket futtatja:
Ellenőrzi, hogy a fájl
/etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
létezik és érvényes.Ellenőrzi, hogy a fájl tartalmazza-e a következő szöveget:
<source> type syslog port 25226 bind 127.0.0.1 protocol_type tcp tag oms.security format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/ <parse> message_format auto </parse> </source> <filter oms.security.**> type filter_syslog_security </filter>
Ellenőrzi, hogy a Cisco ASA tűzfalesemények elemzése a várt módon van-e konfigurálva a következő paranccsal:
grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb
Ha probléma van az elemzéssel, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja az ügynök megfelelő elemzését és újraindítását.
# Cisco ASA parsing fix sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy a Syslog-forrás Számítógép mezőjét megfelelően leképezte-e a Log Analytics-ügynök a következő paranccsal:
grep -i "'Host' => record\['host'\]" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.
# Computer field mapping fix sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy vannak-e olyan biztonsági fejlesztések a gépen, amelyek blokkolhatják a hálózati forgalmat (például a gazdagép tűzfalát).
Ellenőrzi, hogy a syslog démon (syslog-ng) megfelelően van-e konfigurálva a CEF-ként azonosított üzenetek (regex használatával) a Log Analytics-ügynöknek a 25226-os TCP-porton:
Konfigurációs fájl:
/etc/syslog-ng/conf.d/security-config-omsagent.conf
filter f_oms_filter {match(\"CEF\|ASA\" ) ;};destination oms_destination {tcp(\"127.0.0.1\" port(25226));}; log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
Újraindítja a syslog démont és a Log Analytics-ügynököt:
service syslog-ng restart /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Ellenőrzi, hogy létrejöttek-e a szükséges kapcsolatok: tcp 514 az adatok fogadásához, tcp 25226 a syslog démon és a Log Analytics-ügynök közötti belső kommunikációhoz:
netstat -an | grep 514 netstat -an | grep 25226
Ellenőrzi, hogy a syslog démon adatokat fogad-e az 514-ös porton, és hogy az ügynök adatokat fogad-e a 25226-os porton:
sudo tcpdump -A -ni any port 514 -vv sudo tcpdump -A -ni any port 25226 -vv
MOCK-adatokat küld az 514-ös portra a localhoston. Ezeket az adatokat a Microsoft Sentinel munkaterületen az alábbi lekérdezés futtatásával kell megfigyelni:
CommonSecurityLog | where DeviceProduct == "MOCK"
Az adatösszekötő előfeltételeinek ellenőrzése
Az alábbi szakaszokban ellenőrizheti a CEF- vagy Syslog-adatösszekötő előfeltételeit.
Azure-beli virtuális gép CEF-gyűjtőként
Ha EGY Azure-beli virtuális gépet használ CEF-gyűjtőként, ellenőrizze a következőket:
A Common Event Format Data Connector Python-szkript üzembe helyezése előtt győződjön meg arról, hogy a virtuális gép még nincs csatlakoztatva egy meglévő Log Analytics-munkaterülethez. Ezeket az információkat a Log Analytics-munkaterület virtuális gépeinek listájában találja, ahol a Syslog-munkaterülethez csatlakoztatott virtuális gépek Csatlakozás ként jelennek meg.
Győződjön meg arról, hogy a Microsoft Sentinel a megfelelő Log Analytics-munkaterülethez csatlakozik, és telepítve van a Security Elemzések megoldás.
További információ: 1. lépés: A naplótovábbító üzembe helyezése.
Győződjön meg arról, hogy a gép megfelelően van méretezve legalább a minimálisan szükséges előfeltételekkel. További információ: CEF előfeltételek.
Helyszíni vagy nem Azure-beli virtuális gép
Ha helyszíni vagy nem Azure-beli virtuális gépet használ az adatösszekötőhöz, győződjön meg arról, hogy a telepítési szkriptet egy támogatott Linux operációs rendszer friss telepítésén futtatta:
Tipp.
Ezt a szkriptet a Microsoft Sentinel Common Event Format adatösszekötő lapján is megtalálhatja.
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py <WorkspaceId> <Primary Key>
A CEF-létesítmény és a napló súlyossági gyűjteményének engedélyezése
A Syslog-kiszolgáló ( rsyslog vagy syslog-ng) továbbítja a megfelelő konfigurációs fájlban definiált adatokat, amelyeket a Log Analytics-munkaterületen megadott beállítások automatikusan kitöltenek.
Mindenképpen adjon meg részleteket a Microsoft Sentinelbe beszúrni kívánt létesítményekről és súlyossági naplószintekről. A konfigurációs folyamat körülbelül 20 percet vehet igénybe.
További információ: Üzembehelyezési szkript magyarázata.
Például egy rsyslog-kiszolgáló esetében futtassa a következő parancsot a Syslog-továbbítás aktuális beállításainak megjelenítéséhez, és tekintse át a konfigurációs fájl módosításait:
cat /etc/rsyslog.d/security-config-omsagent.conf
Ebben az esetben az rsyslog esetében az alábbihoz hasonló kimenetnek kell megjelennie:
if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226
Az operációs rendszerrel kapcsolatos problémák elhárítása
Ez a szakasz azt ismerteti, hogyan háríthatja el az operációs rendszer konfigurációjából származó problémákat.
Az operációs rendszer hibáinak elhárítása:
Ha még nem tette meg, ellenőrizze, hogy támogatott operációs rendszerrel és Python-verzióval dolgozik-e. További információ: CEF előfeltételek.
Ha a virtuális gép az Azure-ban van, ellenőrizze, hogy a hálózati biztonsági csoport (NSG) engedélyezi-e a bejövő TCP/UDP-kapcsolatot a naplóügyfélről (feladó) az 514-ös porton.
Ellenőrizze, hogy a csomagok érkeznek-e a Syslog Collectorbe. A Syslog Collectorbe érkező syslog-csomagok rögzítéséhez futtassa a következőt:
tcpdump -Ani any port 514 and host <ip_address_of_sender> -vv
Hajtsa végre a megfelelő műveletet:
Ha nem érkezik csomag, erősítse meg az NSG biztonsági csoport engedélyeit és a Syslog Collector útválasztási útvonalát.
Ha a csomagok érkeznek, győződjön meg arról, hogy a csomagok nem lesznek elutasítva.
Ha elutasított csomagokat lát, győződjön meg arról, hogy az IP-táblák nem blokkolják a kapcsolatokat.
A csomagok elutasításának ellenőrzéséhez futtassa a következőt:
watch -n 2 -d iptables -nvL
Ellenőrizze, hogy a CEF-kiszolgáló feldolgozta-e a naplókat. Futtatás:
tail -f /var/log/messages or tail -f /var/log/syslog
A feldolgozott CEF-naplók egyszerű szövegben jelennek meg.
Győződjön meg arról, hogy az rsyslog-kiszolgáló figyeli az 514-ös TCP/UDP-portot. Futtatás:
netstat -anp | grep syslog
Ha cef- vagy ASA-naplókat küld a Syslog Collectornek, akkor a 25226-os TCP-porton létre kell hoznia egy kapcsolatot.
Példa:
0 127.0.0.1:36120 127.0.0.1:25226 ESTABLISHED 1055/rsyslogd
Ha a kapcsolat le van tiltva, lehet, hogy blokkolt Standard kiadás Linux-kapcsolattal rendelkezik az OMS-ügynökkel, vagy blokkolt tűzfalfolyamattal rendelkezik. A probléma meghatározásához használja az alábbi utasításokat.
Standard kiadás Linux blokkoló kapcsolat az OMS-ügynökkel
Ez az eljárás azt ismerteti, hogyan ellenőrizheti, hogy Standard kiadás Linux jelenleg állapotban permissive
van-e, vagy blokkolja-e az OMS-ügynökkel való kapcsolatot. Ez az eljárás akkor releváns, ha az operációs rendszer a RedHat vagy a CentOS disztribúciója, valamint a CEF és a Syslog adatösszekötők esetében is.
Feljegyzés
A CEF és a Syslog Microsoft Sentinel-támogatása csak a FIPS-keményítést tartalmazza. Az egyéb keményítési módszerek, például a Standard kiadás Linux vagy a CIS jelenleg nem támogatottak.
Futtatás:
sestatus
Az állapot az alábbiak egyikeként jelenik meg:
disabled
. Ez a konfiguráció támogatott a Microsoft Sentinel-kapcsolathoz.permissive
. Ez a konfiguráció támogatott a Microsoft Sentinel-kapcsolathoz.enforced
. Ez a konfiguráció nem támogatott, és le kell tiltania az állapotot, vagy be kell állítaniapermissive
.
Ha az állapot jelenleg be van állítva
enforced
, kapcsolja ki ideiglenesen annak ellenőrzéséhez, hogy ez volt-e a blokkoló. Futtatás:setenforce 0
Feljegyzés
Ez a lépés csak a kiszolgáló újraindításáig kapcsolja ki Standard kiadás Linux-t. Módosítsa a Standard kiadás Linux-konfigurációt, hogy ki legyen kapcsolva.
A módosítás sikerességének ellenőrzéséhez futtassa a következőt:
getenforce
Az
permissive
állapotot vissza kell adni.
Fontos
Ez a beállításfrissítés elveszik a rendszer újraindításakor. A beállítás permissive
végleges frissítéséhez módosítsa a /etc/selinux/config fájlt, és módosítsa az értéket a SELINUX
következőre SELINUX=permissive
.
További információt a RedHat dokumentációjában talál.
Letiltott tűzfalszabályzat
Ez az eljárás azt ismerteti, hogyan ellenőrizheti, hogy egy tűzfalszabályzat blokkolja-e az Rsyslog démon és az OMS-ügynök közötti kapcsolatot, és hogyan tilthatja le szükség szerint. Ez az eljárás a CEF és a Syslog adatösszekötők esetében is releváns.
Futtassa a következő parancsot annak ellenőrzéséhez, hogy vannak-e elutasítások az IP-táblákban, jelezve a tűzfalszabályzat által elvetett forgalmat:
watch -n 2 -d iptables -nvL
A tűzfalszabályzat engedélyezéséhez hozzon létre egy szabályzatszabályt a kapcsolatok engedélyezéséhez. Szükség szerint adjon hozzá szabályokat, hogy az aktív tűzfalon keresztül engedélyezze a 25226-os és a 25224-as TCP/UDP-portot.
Példa:
Every 2.0s: iptables -nvL rsyslog: Wed Jul 7 15:56:13 2021 Chain INPUT (policy ACCEPT 6185K packets, 2466M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 6792K packets, 6348M bytes) pkts bytes target prot opt in out source destination
Ha olyan szabályt szeretne létrehozni, amely engedélyezi a 25226-os és a 25224-as TCP/UDP-portot az aktív tűzfalon keresztül, szükség szerint adjon hozzá szabályokat.
A Tűzfalszabályzat-szerkesztő telepítéséhez futtassa a következőt:
yum install policycoreutils-python
Adja hozzá a tűzfalszabályokat a tűzfalszabályzathoz. Példa:
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25226 -j ACCEPT sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p udp --dport 25224 -j ACCEPT sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25224 -j ACCEPT
Ellenőrizze, hogy a kivételt hozzáadták-e. Futtatás:
sudo firewall-cmd --direct --get-rules ipv4 filter INPUT
Töltse be újra a tűzfalat. Futtatás:
sudo firewall-cmd --reload
Feljegyzés
A tűzfal letiltásához futtassa a következőt: sudo systemctl disable firewalld
Linux- és OMS-ügynökkel kapcsolatos problémák
Ha a cikkben korábban ismertetett lépések nem oldják meg a problémát, lehetséges, hogy csatlakozási probléma merül fel az OMS-ügynök és a Microsoft Sentinel-munkaterület között.
Ilyen esetekben folytassa a hibaelhárítást az alábbiak ellenőrzésével:
Győződjön meg arról, hogy a Syslog-gyűjtőn az 514-ös TCP/UDP-portra érkező csomagok láthatók
Győződjön meg arról, hogy a naplók a helyi naplófájlba íródnak, legyen az /var/log/messages vagy a /var/log/syslog
Győződjön meg arról, hogy a 25226-os porton áramló adatcsomagok láthatók
Győződjön meg arról, hogy a virtuális gép kimenő kapcsolattal rendelkezik a 443-as porthoz TCP-en keresztül, vagy csatlakozhat a Log Analytics-végpontokhoz
Győződjön meg arról, hogy rendelkezik hozzáféréssel a CEF-gyűjtőtől a szükséges URL-címekhez a tűzfalszabályzaton keresztül. További információ: Log Analytics-ügynök tűzfalkövetelményei.
Futtassa a következő parancsot annak megállapításához, hogy az ügynök sikeresen kommunikál-e az Azure-ral, vagy hogy az OMS-ügynök nem tud-e csatlakozni a Log Analytics-munkaterülethez.
Heartbeat
| where Computer contains "<computername>"
| sort by TimeGenerated desc
A rendszer naplóbejegyzést ad vissza, ha az ügynök sikeresen kommunikál. Ellenkező esetben előfordulhat, hogy az OMS-ügynök le van tiltva.
Következő lépések
Ha a cikkben ismertetett hibaelhárítási lépések nem segítették a problémát, nyisson meg egy támogatási jegyet, vagy használja a Microsoft Sentinel közösségi erőforrásait. További információ: Hasznos források a Microsoft Sentinellel való munkához.
A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- További információ a CEF és a CommonSecurityLog mezőleképezéséről.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
- Munkafüzetek használatával monitorozza az adatokat.