Share via

A CEF- vagy Syslog-adatösszekötő hibaelhárítása

  • Cikk

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

Ez a cikk a Microsoft Sentinel CEF- vagy Syslog-adatösszekötőjének ellenőrzésére és hibaelhárítására szolgáló gyakori módszereket ismerteti.

Ha például a naplók nem jelennek meg a Microsoft Sentinelben, akár a Syslogban, akár a Common Security Log táblában, előfordulhat, hogy az adatforrás nem tud csatlakozni, vagy más oka lehet annak, hogy az adatok nem lesznek betöltve.

A sikertelen összekötő üzembe helyezésének egyéb tünetei közé tartozik, ha hiányzik a security_events.conf vagy a security-omsagent.config.conf fájl, vagy ha az rsyslog-kiszolgáló nem figyeli az 514-s portot.

További információ: Csatlakozás a külső megoldás a Common Event Format használatával, és adatok gyűjtése Linux-alapú forrásokból a Syslog használatával.

Ha az összekötőt a dokumentált eljárástól eltérő módszerrel telepítette, és problémákat tapasztal, javasoljuk, hogy törölje az üzembe helyezést, és telepítse újra a dokumentált módon.

Ez a cikk bemutatja, hogyan háríthatja el a CEF- vagy Syslog-összekötőket a Log Analytics-ügynökkel. A CEF-naplók Azure Monitor Agenten (AMA) keresztüli betöltésével kapcsolatos hibaelhárítási információkért tekintse át a Common Event Format (CEF) szolgáltatást az AMA-összekötő utasításain keresztül.

Fontos

2023. február 28-án bevezettük a CommonSecurityLog táblaséma módosításait. A módosítást követően előfordulhat, hogy át kell tekintenie és frissítenie kell az egyéni lekérdezéseket. További részletekért tekintse meg az ajánlott műveletek szakaszt ebben a blogbejegyzésben. A Microsoft Sentinel frissítette a beépített tartalmakat (észleléseket, keresési lekérdezéseket, munkafüzeteket, elemzőket stb.).

A cikk használata

Ha a cikkben szereplő információk csak a Syslog vagy csak a CEF-összekötők esetében relevánsak, lapfülekbe rendeztük a lapot. Győződjön meg arról, hogy az összekötő típusának megfelelő lapon található utasításokat használja.

Ha például egy CEF-összekötő hibaelhárítását szeretné végezni, kezdje a CEF-kapcsolat ellenőrzésével. Syslog-összekötő hibaelhárítása esetén kezdje az alábbiakban az adatösszekötő előfeltételeinek ellenőrzésével.

CEF-kapcsolat ellenőrzése

Miután üzembe helyezte a naplótovábbítót , és konfigurálta a biztonsági megoldást CEF-üzenetek küldésére, az ebben a szakaszban ismertetett lépésekkel ellenőrizheti a biztonsági megoldás és a Microsoft Sentinel közötti kapcsolatot.

Ez az eljárás csak CEF-kapcsolatok esetében releváns, és a Syslog-kapcsolatok esetében nem releváns.

  1. Győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

    • Emelt szintű engedélyekkel (sudo) kell rendelkeznie a naplótovábbító gépen.

    • A python 2.7-nek vagy 3-nak telepítve kell lennie a naplótovábbító gépen. Az ellenőrzéshez használja a python --version parancsot.

    • A folyamat egy pontján szükség lehet a munkaterület azonosítójára és a munkaterület elsődleges kulcsára. Ezeket a munkaterület erőforrásában, az Ügynökök kezelése területen találja meg.

  2. A Microsoft Sentinel navigációs menüjében nyissa meg a Naplókat. Futtasson egy lekérdezést a CommonSecurityLog-sémával , és ellenőrizze, hogy kap-e naplókat a biztonsági megoldástól.

    Körülbelül 20 percig tarthat, amíg a naplók megjelennek a Log Analyticsben.

  3. Ha nem látja a lekérdezés eredményeit, ellenőrizze, hogy az események a biztonsági megoldásból jönnek-e létre, vagy próbáljon-e létrehozni néhányat, és ellenőrizze, hogy a rendszer továbbítja-e őket a kijelölt Syslog-továbbító gépre.

  4. Futtassa a következő szkriptet a naplótovábbítón (a helyőrző helyett alkalmazza a munkaterület-azonosítót) a biztonsági megoldás, a naplótovábbító és a Microsoft Sentinel közötti kapcsolat ellenőrzéséhez. Ez a szkript ellenőrzi, hogy a démon figyeli-e a megfelelő portokat, hogy a továbbítás megfelelően van-e konfigurálva, és hogy semmi sem blokkolja a démon és a Log Analytics-ügynök közötti kommunikációt. A "TestCommonEventFormat" utánzatüzeneteket is küld a végpontok közötti kapcsolat ellenőrzéséhez. 

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

    • Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Számítógép mező leképezésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az érvényesítési szkript magyarázatát.

    • Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Cisco ASA tűzfalnaplóinak elemzésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az érvényesítési szkript magyarázatát.

CEF-érvényesítési szkript magyarázata

A következő szakasz a CEF érvényesítési szkriptet ismerteti az rsyslog démon és a syslog-ng démon esetében.

rsyslog démon

Az rsyslog démon esetében a CEF érvényesítési szkript a következő ellenőrzéseket futtatja:

  1. Ellenőrzi, hogy a fájl
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    létezik és érvényes.

  2. Ellenőrzi, hogy a fájl tartalmazza-e a következő szöveget:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Ellenőrzi, hogy a Cisco ASA tűzfalesemények elemzése a várt módon van-e konfigurálva a következő paranccsal:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Ha probléma van az elemzéssel, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja az ügynök megfelelő elemzését és újraindítását.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Ellenőrzi, hogy a Syslog-forrás Számítógép mezőjét megfelelően leképezte-e a Log Analytics-ügynök a következő paranccsal:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Ellenőrzi, hogy vannak-e olyan biztonsági fejlesztések a gépen, amelyek blokkolhatják a hálózati forgalmat (például a gazdagép tűzfalát).

  6. Ellenőrzi, hogy a syslog démon (rsyslog) megfelelően van-e konfigurálva arra, hogy üzeneteket küldjön a Log Analytics-ügynöknek a 25226-os TCP-porton:

    Konfigurációs fájl: /etc/rsyslog.d/security-config-omsagent.conf

    if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  7. Újraindítja a syslog démont és a Log Analytics-ügynököt:

    service rsyslog restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Ellenőrzi, hogy létrejöttek-e a szükséges kapcsolatok: tcp 514 az adatok fogadásához, tcp 25226 a syslog démon és a Log Analytics-ügynök közötti belső kommunikációhoz:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Ellenőrzi, hogy a syslog démon adatokat fogad-e az 514-ös porton, és hogy az ügynök adatokat fogad-e a 25226-os porton:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK-adatokat küld az 514-ös portra a localhoston. Ezeket az adatokat a Microsoft Sentinel munkaterületen az alábbi lekérdezés futtatásával kell megfigyelni:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

syslog-ng démon

Syslog-ng démon esetén a CEF érvényesítési szkript a következő ellenőrzéseket futtatja:

  1. Ellenőrzi, hogy a fájl
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    létezik és érvényes.

  2. Ellenőrzi, hogy a fájl tartalmazza-e a következő szöveget:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Ellenőrzi, hogy a Cisco ASA tűzfalesemények elemzése a várt módon van-e konfigurálva a következő paranccsal:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Ha probléma van az elemzéssel, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja az ügynök megfelelő elemzését és újraindítását.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Ellenőrzi, hogy a Syslog-forrás Számítógép mezőjét megfelelően leképezte-e a Log Analytics-ügynök a következő paranccsal:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Ellenőrzi, hogy vannak-e olyan biztonsági fejlesztések a gépen, amelyek blokkolhatják a hálózati forgalmat (például a gazdagép tűzfalát).

  6. Ellenőrzi, hogy a syslog démon (syslog-ng) megfelelően van-e konfigurálva a CEF-ként azonosított üzenetek (regex használatával) a Log Analytics-ügynöknek a 25226-os TCP-porton:

    • Konfigurációs fájl: /etc/syslog-ng/conf.d/security-config-omsagent.conf

      filter f_oms_filter {match(\"CEF\|ASA\" ) ;};destination oms_destination {tcp(\"127.0.0.1\" port(25226));};
log {source(s_src);filter(f_oms_filter);destination(oms_destination);};

  7. Újraindítja a syslog démont és a Log Analytics-ügynököt:

    service syslog-ng restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Ellenőrzi, hogy létrejöttek-e a szükséges kapcsolatok: tcp 514 az adatok fogadásához, tcp 25226 a syslog démon és a Log Analytics-ügynök közötti belső kommunikációhoz:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Ellenőrzi, hogy a syslog démon adatokat fogad-e az 514-ös porton, és hogy az ügynök adatokat fogad-e a 25226-os porton:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK-adatokat küld az 514-ös portra a localhoston. Ezeket az adatokat a Microsoft Sentinel munkaterületen az alábbi lekérdezés futtatásával kell megfigyelni:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

Az adatösszekötő előfeltételeinek ellenőrzése

Az alábbi szakaszokban ellenőrizheti a CEF- vagy Syslog-adatösszekötő előfeltételeit.

Azure-beli virtuális gép CEF-gyűjtőként

Ha EGY Azure-beli virtuális gépet használ CEF-gyűjtőként, ellenőrizze a következőket:

  • A Common Event Format Data Connector Python-szkript üzembe helyezése előtt győződjön meg arról, hogy a virtuális gép még nincs csatlakoztatva egy meglévő Log Analytics-munkaterülethez. Ezeket az információkat a Log Analytics-munkaterület virtuális gépeinek listájában találja, ahol a Syslog-munkaterülethez csatlakoztatott virtuális gépek Csatlakozás ként jelennek meg.

  • Győződjön meg arról, hogy a Microsoft Sentinel a megfelelő Log Analytics-munkaterülethez csatlakozik, és telepítve van a Security Elemzések megoldás.

    További információ: 1. lépés: A naplótovábbító üzembe helyezése.

  • Győződjön meg arról, hogy a gép megfelelően van méretezve legalább a minimálisan szükséges előfeltételekkel. További információ: CEF előfeltételek.

Helyszíni vagy nem Azure-beli virtuális gép

Ha helyszíni vagy nem Azure-beli virtuális gépet használ az adatösszekötőhöz, győződjön meg arról, hogy a telepítési szkriptet egy támogatott Linux operációs rendszer friss telepítésén futtatta:

Tipp.

Ezt a szkriptet a Microsoft Sentinel Common Event Format adatösszekötő lapján is megtalálhatja.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py <WorkspaceId> <Primary Key>

A CEF-létesítmény és a napló súlyossági gyűjteményének engedélyezése

A Syslog-kiszolgáló ( rsyslog vagy syslog-ng) továbbítja a megfelelő konfigurációs fájlban definiált adatokat, amelyeket a Log Analytics-munkaterületen megadott beállítások automatikusan kitöltenek.

Mindenképpen adjon meg részleteket a Microsoft Sentinelbe beszúrni kívánt létesítményekről és súlyossági naplószintekről. A konfigurációs folyamat körülbelül 20 percet vehet igénybe.

További információ: Üzembehelyezési szkript magyarázata.

Például egy rsyslog-kiszolgáló esetében futtassa a következő parancsot a Syslog-továbbítás aktuális beállításainak megjelenítéséhez, és tekintse át a konfigurációs fájl módosításait:

cat /etc/rsyslog.d/security-config-omsagent.conf

Ebben az esetben az rsyslog esetében az alábbihoz hasonló kimenetnek kell megjelennie:

if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

Az operációs rendszerrel kapcsolatos problémák elhárítása

Ez a szakasz azt ismerteti, hogyan háríthatja el az operációs rendszer konfigurációjából származó problémákat.

Az operációs rendszer hibáinak elhárítása:

  1. Ha még nem tette meg, ellenőrizze, hogy támogatott operációs rendszerrel és Python-verzióval dolgozik-e. További információ: CEF előfeltételek.

  2. Ha a virtuális gép az Azure-ban van, ellenőrizze, hogy a hálózati biztonsági csoport (NSG) engedélyezi-e a bejövő TCP/UDP-kapcsolatot a naplóügyfélről (feladó) az 514-ös porton.

  3. Ellenőrizze, hogy a csomagok érkeznek-e a Syslog Collectorbe. A Syslog Collectorbe érkező syslog-csomagok rögzítéséhez futtassa a következőt:

    tcpdump -Ani any port 514 and host <ip_address_of_sender> -vv

  4. Hajtsa végre a megfelelő műveletet:

    • Ha nem érkezik csomag, erősítse meg az NSG biztonsági csoport engedélyeit és a Syslog Collector útválasztási útvonalát.

    • Ha a csomagok érkeznek, győződjön meg arról, hogy a csomagok nem lesznek elutasítva.

    Ha elutasított csomagokat lát, győződjön meg arról, hogy az IP-táblák nem blokkolják a kapcsolatokat.

    A csomagok elutasításának ellenőrzéséhez futtassa a következőt:

    watch -n 2 -d iptables -nvL

  5. Ellenőrizze, hogy a CEF-kiszolgáló feldolgozta-e a naplókat. Futtatás:

    tail -f /var/log/messages or tail -f /var/log/syslog

    A feldolgozott CEF-naplók egyszerű szövegben jelennek meg.

  6. Győződjön meg arról, hogy az rsyslog-kiszolgáló figyeli az 514-ös TCP/UDP-portot. Futtatás:

    netstat -anp | grep syslog

    Ha cef- vagy ASA-naplókat küld a Syslog Collectornek, akkor a 25226-os TCP-porton létre kell hoznia egy kapcsolatot.

    Példa:

    0 127.0.0.1:36120 127.0.0.1:25226 ESTABLISHED 1055/rsyslogd

    Ha a kapcsolat le van tiltva, lehet, hogy blokkolt Standard kiadás Linux-kapcsolattal rendelkezik az OMS-ügynökkel, vagy blokkolt tűzfalfolyamattal rendelkezik. A probléma meghatározásához használja az alábbi utasításokat.

Standard kiadás Linux blokkoló kapcsolat az OMS-ügynökkel

Ez az eljárás azt ismerteti, hogyan ellenőrizheti, hogy Standard kiadás Linux jelenleg állapotban permissive van-e, vagy blokkolja-e az OMS-ügynökkel való kapcsolatot. Ez az eljárás akkor releváns, ha az operációs rendszer a RedHat vagy a CentOS disztribúciója, valamint a CEF és a Syslog adatösszekötők esetében is.

Feljegyzés

A CEF és a Syslog Microsoft Sentinel-támogatása csak a FIPS-keményítést tartalmazza. Az egyéb keményítési módszerek, például a Standard kiadás Linux vagy a CIS jelenleg nem támogatottak.

  1. Futtatás:

    sestatus

    Az állapot az alábbiak egyikeként jelenik meg:

    • disabled. Ez a konfiguráció támogatott a Microsoft Sentinel-kapcsolathoz.
    • permissive. Ez a konfiguráció támogatott a Microsoft Sentinel-kapcsolathoz.
    • enforced. Ez a konfiguráció nem támogatott, és le kell tiltania az állapotot, vagy be kell állítania permissive.

  2. Ha az állapot jelenleg be van állítva enforced, kapcsolja ki ideiglenesen annak ellenőrzéséhez, hogy ez volt-e a blokkoló. Futtatás:

    setenforce 0

    Feljegyzés

    Ez a lépés csak a kiszolgáló újraindításáig kapcsolja ki Standard kiadás Linux-t. Módosítsa a Standard kiadás Linux-konfigurációt, hogy ki legyen kapcsolva.

  3. A módosítás sikerességének ellenőrzéséhez futtassa a következőt:

    getenforce

    Az permissive állapotot vissza kell adni.

Fontos

Ez a beállításfrissítés elveszik a rendszer újraindításakor. A beállítás permissivevégleges frissítéséhez módosítsa a /etc/selinux/config fájlt, és módosítsa az értéket a SELINUX következőre SELINUX=permissive.

További információt a RedHat dokumentációjában talál.

Letiltott tűzfalszabályzat

Ez az eljárás azt ismerteti, hogyan ellenőrizheti, hogy egy tűzfalszabályzat blokkolja-e az Rsyslog démon és az OMS-ügynök közötti kapcsolatot, és hogyan tilthatja le szükség szerint. Ez az eljárás a CEF és a Syslog adatösszekötők esetében is releváns.

  1. Futtassa a következő parancsot annak ellenőrzéséhez, hogy vannak-e elutasítások az IP-táblákban, jelezve a tűzfalszabályzat által elvetett forgalmat:

    watch -n 2 -d iptables -nvL

  2. A tűzfalszabályzat engedélyezéséhez hozzon létre egy szabályzatszabályt a kapcsolatok engedélyezéséhez. Szükség szerint adjon hozzá szabályokat, hogy az aktív tűzfalon keresztül engedélyezze a 25226-os és a 25224-as TCP/UDP-portot.

    Példa:

    Every 2.0s: iptables -nvL                      rsyslog: Wed Jul  7 15:56:13 2021

Chain INPUT (policy ACCEPT 6185K packets, 2466M bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 6792K packets, 6348M bytes)
 pkts bytes target     prot opt in     out     source               destination

  3. Ha olyan szabályt szeretne létrehozni, amely engedélyezi a 25226-os és a 25224-as TCP/UDP-portot az aktív tűzfalon keresztül, szükség szerint adjon hozzá szabályokat.

    1. A Tűzfalszabályzat-szerkesztő telepítéséhez futtassa a következőt:

      yum install policycoreutils-python

    2. Adja hozzá a tűzfalszabályokat a tűzfalszabályzathoz. Példa:

      sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25226  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p udp --dport 25224  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25224  -j ACCEPT

    3. Ellenőrizze, hogy a kivételt hozzáadták-e. Futtatás:

      sudo firewall-cmd --direct --get-rules ipv4 filter INPUT

    4. Töltse be újra a tűzfalat. Futtatás:

      sudo firewall-cmd --reload

Feljegyzés

A tűzfal letiltásához futtassa a következőt: sudo systemctl disable firewalld

Ha a cikkben korábban ismertetett lépések nem oldják meg a problémát, lehetséges, hogy csatlakozási probléma merül fel az OMS-ügynök és a Microsoft Sentinel-munkaterület között.

Ilyen esetekben folytassa a hibaelhárítást az alábbiak ellenőrzésével:

  • Győződjön meg arról, hogy a Syslog-gyűjtőn az 514-ös TCP/UDP-portra érkező csomagok láthatók

  • Győződjön meg arról, hogy a naplók a helyi naplófájlba íródnak, legyen az /var/log/messages vagy a /var/log/syslog

  • Győződjön meg arról, hogy a 25226-os porton áramló adatcsomagok láthatók

  • Győződjön meg arról, hogy a virtuális gép kimenő kapcsolattal rendelkezik a 443-as porthoz TCP-en keresztül, vagy csatlakozhat a Log Analytics-végpontokhoz

  • Győződjön meg arról, hogy rendelkezik hozzáféréssel a CEF-gyűjtőtől a szükséges URL-címekhez a tűzfalszabályzaton keresztül. További információ: Log Analytics-ügynök tűzfalkövetelményei.

Futtassa a következő parancsot annak megállapításához, hogy az ügynök sikeresen kommunikál-e az Azure-ral, vagy hogy az OMS-ügynök nem tud-e csatlakozni a Log Analytics-munkaterülethez.

Heartbeat
 | where Computer contains "<computername>"
 | sort by TimeGenerated desc

A rendszer naplóbejegyzést ad vissza, ha az ügynök sikeresen kommunikál. Ellenkező esetben előfordulhat, hogy az OMS-ügynök le van tiltva.

Következő lépések

Ha a cikkben ismertetett hibaelhárítási lépések nem segítették a problémát, nyisson meg egy támogatási jegyet, vagy használja a Microsoft Sentinel közösségi erőforrásait. További információ: Hasznos források a Microsoft Sentinellel való munkához.

A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: