Log Kustom melalui konektor data AMA - Mengonfigurasi penyerapan data ke Microsoft Azure Sentinel dari aplikasi tertentu

Log Kustom Microsoft Sentinel melalui konektor data AMA mendukung pengumpulan log dari file teks dari beberapa aplikasi dan perangkat jaringan dan keamanan yang berbeda.

Artikel ini menyediakan informasi konfigurasi, unik untuk setiap aplikasi keamanan tertentu, yang perlu Anda berikan saat mengonfigurasi konektor data ini. Informasi ini disediakan oleh penyedia aplikasi. Hubungi penyedia untuk pembaruan, untuk informasi lebih lanjut, atau ketika informasi tidak tersedia untuk aplikasi keamanan Anda. Untuk instruksi lengkap menginstal dan mengonfigurasi konektor, lihat Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Azure Sentinel, tetapi lihat kembali ke artikel ini untuk informasi unik yang disediakan untuk setiap aplikasi.

Artikel ini juga menunjukkan kepada Anda cara menyerap data dari aplikasi ini ke ruang kerja Microsoft Azure Sentinel Anda tanpa menggunakan konektor. Langkah-langkah ini termasuk penginstalan Agen Azure Monitor. Setelah konektor diinstal, gunakan instruksi yang sesuai dengan aplikasi Anda, yang ditunjukkan nanti di artikel ini, untuk menyelesaikan penyiapan.

Perangkat tempat Anda mengumpulkan log teks kustom termasuk dalam dua kategori:

• Aplikasi yang diinstal pada komputer Windows atau Linux

  Aplikasi menyimpan file lognya di komputer tempat file tersebut diinstal. Untuk mengumpulkan log ini, Agen Azure Monitor diinstal pada komputer yang sama ini.

• Appliance yang mandiri pada perangkat tertutup (biasanya berbasis Linux)

  Appliance ini menyimpan log mereka di server syslog eksternal. Untuk mengumpulkan log ini, Azure Monitor Agentis diinstal pada server syslog eksternal ini, sering disebut penerus log.

Untuk informasi selengkapnya tentang solusi Microsoft Sentinel terkait untuk setiap aplikasi ini, cari Marketplace Azure templat Solusi Jenis>Produk atau tinjau solusi dari hub Konten di Microsoft Azure Sentinel.

Penting

• Log Kustom melalui konektor data AMA saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

• Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Instruksi umum

Langkah-langkah untuk mengumpulkan log dari mesin yang menghosting aplikasi dan appliance mengikuti pola umum:

1. Buat tabel tujuan di Analitik Log (atau Perburuan Tingkat Lanjut jika Anda berada di portal Defender).

2. Buat aturan pengumpulan data (DCR) untuk aplikasi atau appliance Anda.

3. Sebarkan Agen Azure Monitor ke komputer yang menghosting aplikasi, atau ke server eksternal (penerus log) yang mengumpulkan log dari appliance jika belum disebarkan.

4. Mengonfigurasi pengelogan pada aplikasi Anda. Jika appliance, konfigurasikan untuk mengirim lognya ke server eksternal (penerus log) tempat Agen Azure Monitor diinstal.

Langkah-langkah umum ini (kecuali yang terakhir) diotomatisasi saat Anda menggunakan Log Kustom melalui konektor data AMA , dan dijelaskan secara rinci dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

Instruksi khusus per jenis aplikasi

Informasi per aplikasi yang Anda butuhkan untuk menyelesaikan langkah-langkah ini disajikan di sisa artikel ini. Beberapa aplikasi ini berada di appliance mandiri dan memerlukan jenis konfigurasi yang berbeda, dimulai dengan penggunaan penerus log.

Setiap bagian aplikasi berisi informasi berikut:

• Parameter unik untuk disuplai ke konfigurasi Log Kustom melalui konektor data AMA , jika Anda menggunakannya.
• Kerangka prosedur yang diperlukan untuk menyerap data secara manual, tanpa menggunakan konektor. Untuk detail prosedur ini, lihat Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.
• Instruksi khusus untuk mengonfigurasi aplikasi atau perangkat asal itu sendiri, dan/atau tautan ke instruksi di situs web penyedia. Langkah-langkah ini harus diambil baik menggunakan konektor atau tidak.

Apache HTTP Server

Ikuti langkah-langkah ini untuk menyerap pesan log dari Apache HTTP Server:

1. Nama tabel: ApacheHTTPServer_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

Apache Tomcat

Ikuti langkah-langkah ini untuk menyerap pesan log dari Apache Tomcat:

1. Nama tabel: Tomcat_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

Cisco Meraki

Ikuti langkah-langkah berikut untuk menyerap pesan log dari Cisco Meraki:

1. Nama tabel: meraki_CL

2. Lokasi penyimpanan log: Buat file log di server syslog eksternal Anda. Berikan izin tulis daemon syslog ke file. Instal AMA di server syslog eksternal jika belum diinstal. Masukkan nama file dan jalur ini di bidang Pola file di konektor, atau sebagai pengganti {LOCAL_PATH_FILE} tempat penampung di DCR.

3. Konfigurasikan daemon syslog untuk mengekspor pesan log Meraki-nya ke file teks sementara sehingga AMA dapat mengumpulkannya.

   rsyslog

   1. Buat file konfigurasi kustom untuk daemon rsyslog dan simpan ke /etc/rsyslog.d/10-meraki.conf. Tambahkan kondisi pemfilteran berikut ke file konfigurasi ini:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Ganti <LOG_FILE_Name> dengan nama file log yang Anda buat.)

      Untuk mempelajari selengkapnya tentang kondisi pemfilteran untuk rsyslog, lihat rsyslog: Kondisi filter. Sebaiknya uji dan ubah konfigurasi berdasarkan penginstalan spesifik Anda.

   2. Mulai ulang rsyslog. Sintaks perintah yang khas adalah systemctl restart rsyslog.

   syslog-ng

   1. Edit file /etc/syslog-ng/conf.dkonfigurasi , menambahkan kondisi berikut:

      filter f_meraki {
          message("flows") or message("urls") or message("ids-alerts") or message("events") or message("ip_flow_start") or message("ip_flow_end"); 
      }; 
      
      destination d_meraki { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_meraki); 
          destination(d_meraki); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   2. Mulai ulang syslog-ng. Sintaks perintah yang khas adalah systemctl restart syslog-ng.

4. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   • Ganti nama "RawData" kolom dengan nama "Message"kolom .

   • Ganti nilai "source" transformKql dengan nilai "source | project-rename Message=RawData".

   • {TABLE_NAME} Ganti tempat penampung dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

5. Konfigurasikan mesin tempat Agen Azure Monitor diinstal untuk membuka port syslog, dan konfigurasikan daemon syslog di sana untuk menerima pesan dari sumber eksternal. Untuk instruksi terperinci dan skrip untuk mengotomatiskan konfigurasi ini, lihat Mengonfigurasi penerus log untuk menerima log.

6. Konfigurasikan dan sambungkan perangkat Cisco Meraki: ikuti instruksi yang diberikan oleh Cisco untuk mengirim pesan syslog. Gunakan alamat IP atau nama host komputer virtual tempat Agen Azure Monitor diinstal.

Kembali ke atas

Platform Aplikasi JBoss Enterprise

Ikuti langkah-langkah berikut untuk menyerap pesan log dari Platform Aplikasi JBoss Enterprise:

1. Nama tabel: JBossLogs_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns") - Hanya Linux:

   • Server mandiri: "{EAP_HOME}/standalone/log/server.log"
   • Domain terkelola: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

JuniperIDP

Ikuti langkah-langkah ini untuk menyerap pesan log dari JuniperIDP:

1. Nama tabel: JuniperIDP_CL

2. Lokasi penyimpanan log: Buat file log di server syslog eksternal Anda. Berikan izin tulis daemon syslog ke file. Instal AMA di server syslog eksternal jika belum diinstal. Masukkan nama file dan jalur ini di bidang Pola file di konektor, atau sebagai pengganti {LOCAL_PATH_FILE} tempat penampung di DCR.

3. Konfigurasikan daemon syslog untuk mengekspor pesan log JuniperIDP-nya ke file teks sementara sehingga AMA dapat mengumpulkannya.

   rsyslog

   1. Buat file konfigurasi kustom untuk daemon rsyslog, di /etc/rsyslog.d/ folder , dengan kondisi pemfilteran berikut:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ganti <parameters> dengan nama aktual objek yang diwakili. <> LOG_FILE_NAME adalah file yang Anda buat di langkah 2.)

   2. Mulai ulang rsyslog. Sintaks perintah yang khas adalah systemctl restart rsyslog.

   syslog-ng

   1. Edit file /etc/syslog-ng/conf.dkonfigurasi , menambahkan kondisi berikut:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   2. Mulai ulang syslog-ng. Sintaks perintah yang khas adalah systemctl restart syslog-ng.

4. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   • Ganti nama "RawData" kolom dengan nama "Message"kolom .

   • {TABLE_NAME} Ganti tempat penampung dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

   • Ganti nilai "source" transformKql dengan kueri Kusto berikut (diapit tanda kutip ganda):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Konfigurasikan mesin tempat Agen Azure Monitor diinstal untuk membuka port syslog, dan konfigurasikan daemon syslog di sana untuk menerima pesan dari sumber eksternal. Untuk instruksi terperinci dan skrip untuk mengotomatiskan konfigurasi ini, lihat Mengonfigurasi penerus log untuk menerima log.

6. Untuk instruksi untuk mengonfigurasi appliance IDP Juniper untuk mengirim pesan syslog ke server eksternal, lihat Memulai SRX - Mengonfigurasi Pengelogan Sistem..

Kembali ke atas

MarkLogic Audit

Ikuti langkah-langkah ini untuk menyerap pesan log dari MarkLogic Audit:

1. Nama tabel: MarkLogicAudit_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

4. Konfigurasikan Audit MarkLogic untuk mengaktifkannya menulis log: (dari dokumentasi MarkLogic)

   1. Menggunakan browser Anda, navigasikan ke antarmuka Admin MarkLogic.
   2. Buka layar Konfigurasi Audit di bawah Grup > group_name > Audit.
   3. Tandai tombol radio Audit Diaktifkan. Pastikan ia diaktifkan.
   4. Mengonfigurasi peristiwa audit dan/atau pembatasan yang diinginkan.
   5. Validasi dengan memilih OK.
   6. Lihat dokumentasi MarkLogic untuk detail selengkapnya dan opsi konfigurasi.

Kembali ke atas

MongoDB Audit

Ikuti langkah-langkah ini untuk menyerap pesan log dari Audit MongoDB:

1. Nama tabel: MongoDBAudit_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

4. Konfigurasikan MongoDB untuk menulis log:

   1. Untuk Windows, edit file mongod.cfgkonfigurasi . Untuk Linux, mongod.conf.
   2. Set dbpath parameter ke data/db.
   3. Set path parameter ke /data/db/auditlog.json.
   4. Lihat dokumentasi MongoDB untuk parameter dan detail selengkapnya.

Kembali ke atas

NGINX HTTP Server

Ikuti langkah-langkah ini untuk menyerap pesan log dari Server HTTP NGINX:

1. Nama tabel: NGINX_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

Oracle WebLogic Server

Ikuti langkah-langkah ini untuk menyerap pesan log dari Oracle WebLogic Server:

1. Nama tabel: OracleWebLogicServer_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

Peristiwa PostgreSQL

Ikuti langkah-langkah ini untuk menyerap pesan log dari Peristiwa PostgreSQL:

1. Nama tabel: PostgreSQL_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

4. Edit file postgresql.conf konfigurasi Peristiwa PostgreSQL untuk menghasilkan log ke file.

   1. Mengeset log_destination='stderr'
   2. Mengeset logging_collector=on
   3. Lihat dokumentasi PostgreSQL untuk parameter dan detail lainnya.

Kembali ke atas

Deteksi Ancaman SecurityBridge untuk SAP

Ikuti langkah-langkah ini untuk menyerap pesan log dari SecurityBridge Threat Detection untuk SAP:

1. Nama tabel: SecurityBridgeLogs_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

SquidProxy

Ikuti langkah-langkah ini untuk menyerap pesan log dari SquidProxy:

1. Nama tabel: SquidProxy_CL

2. Lokasi penyimpanan log: Log disimpan sebagai file teks di komputer host aplikasi. Instal AMA pada komputer yang sama untuk mengumpulkan file.

   Lokasi file default ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   Ganti tempat penampung {TABLE_NAME} dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

Kembali ke atas

Ubiquiti UniFi

Ikuti langkah-langkah berikut untuk menyerap pesan log dari Ubiquiti UniFi:

1. Nama tabel: Ubiquiti_CL

2. Lokasi penyimpanan log: Buat file log di server syslog eksternal Anda. Berikan izin tulis daemon syslog ke file. Instal AMA di server syslog eksternal jika belum diinstal. Masukkan nama file dan jalur ini di bidang Pola file di konektor, atau sebagai pengganti {LOCAL_PATH_FILE} tempat penampung di DCR.

3. Konfigurasikan daemon syslog untuk mengekspor pesan log Ubiquiti-nya ke file teks sementara sehingga AMA dapat mengumpulkannya.

   rsyslog

   1. Buat file konfigurasi kustom untuk daemon rsyslog, di /etc/rsyslog.d/ folder , dengan kondisi pemfilteran berikut:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ganti <parameters> dengan nama aktual objek yang diwakili. <> LOG_FILE_NAME adalah file yang Anda buat di langkah 2.)

   2. Mulai ulang rsyslog. Sintaks perintah yang khas adalah systemctl restart rsyslog.

   syslog-ng

   1. Edit file /etc/syslog-ng/conf.dkonfigurasi , menambahkan kondisi berikut:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   2. Mulai ulang syslog-ng. Sintaks perintah yang khas adalah systemctl restart syslog-ng.

4. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   • Ganti nama "RawData" kolom dengan nama "Message"kolom .

   • Ganti nilai "source" transformKql dengan nilai "source | project-rename Message=RawData".

   • {TABLE_NAME} Ganti tempat penampung dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

5. Konfigurasikan mesin tempat Agen Azure Monitor diinstal untuk membuka port syslog, dan konfigurasikan daemon syslog di sana untuk menerima pesan dari sumber eksternal. Untuk instruksi terperinci dan skrip untuk mengotomatiskan konfigurasi ini, lihat Mengonfigurasi penerus log untuk menerima log.

6. Konfigurasikan dan sambungkan pengontrol Ubiquiti.

   1. Ikuti instruksi yang diberikan oleh Ubiquiti untuk mengaktifkan syslog dan log debugging opsional.
   2. Pilih Pengaturan > Pengaturan > Sistem Konfigurasi Pengontrol > Pengelogan Jarak Jauh dan aktifkan syslog.

Kembali ke atas

VMware vCenter

Ikuti langkah-langkah ini untuk menyerap pesan log dari VMware vCenter Server:

1. Nama tabel: vcenter_CL

2. Lokasi penyimpanan log: Buat file log di server syslog eksternal Anda. Berikan izin tulis daemon syslog ke file. Instal AMA di server syslog eksternal jika belum diinstal. Masukkan nama file dan jalur ini di bidang Pola file di konektor, atau sebagai pengganti {LOCAL_PATH_FILE} tempat penampung di DCR.

3. Konfigurasikan daemon syslog untuk mengekspor pesan log vCenter servernya ke file teks sementara sehingga AMA dapat mengumpulkannya.

   rsyslog

   1. Edit file /etc/rsyslog.conf konfigurasi untuk menambahkan baris templat berikut sebelum bagian direktif:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Buat file konfigurasi kustom untuk daemon rsyslog, disimpan seperti /etc/rsyslog.d/10-vcenter.conf dengan kondisi pemfilteran berikut:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   3. Mulai ulang rsyslog. Sintaks perintah yang khas adalah sudo systemctl restart rsyslog.

   syslog-ng

   1. Edit file /etc/syslog-ng/conf.dkonfigurasi , menambahkan kondisi pemfilteran berikut:

      filter f_vcenter {
          message("vpxd") or message("vcenter-server"); 
      }; 
      
      destination d_vcenter { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_vcenter); 
          destination(d_vcenter); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   2. Mulai ulang syslog-ng. Sintaks perintah yang khas adalah systemctl restart syslog-ng.

4. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   • Ganti nama "RawData" kolom dengan nama "Message"kolom .

   • Ganti nilai "source" transformKql dengan nilai "source | project-rename Message=RawData".

   • {TABLE_NAME} Ganti tempat penampung dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

   • dataCollectionEndpointId harus diisi dengan DCE Anda. Jika Anda tidak memilikinya, tentukan yang baru. Lihat Membuat titik akhir pengumpulan data untuk instruksi.

5. Konfigurasikan mesin tempat Agen Azure Monitor diinstal untuk membuka port syslog, dan konfigurasikan daemon syslog di sana untuk menerima pesan dari sumber eksternal. Untuk instruksi terperinci dan skrip untuk mengotomatiskan konfigurasi ini, lihat Mengonfigurasi penerus log untuk menerima log.

6. Konfigurasikan dan sambungkan perangkat vCenter Server.

   1. Ikuti instruksi yang diberikan oleh VMware untuk mengirim pesan syslog.
   2. Gunakan alamat IP atau nama host komputer tempat Agen Azure Monitor diinstal.

Kembali ke atas

Zscaler Private Access (ZPA)

Ikuti langkah-langkah ini untuk menyerap pesan log dari Zscaler Private Access (ZPA):

1. Nama tabel: ZPA_CL

2. Lokasi penyimpanan log: Buat file log di server syslog eksternal Anda. Berikan izin tulis daemon syslog ke file. Instal AMA di server syslog eksternal jika belum diinstal. Masukkan nama file dan jalur ini di bidang Pola file di konektor, atau sebagai pengganti {LOCAL_PATH_FILE} tempat penampung di DCR.

3. Konfigurasikan daemon syslog untuk mengekspor pesan log ZPA-nya ke file teks sementara sehingga AMA dapat mengumpulkannya.

   rsyslog

   1. Buat file konfigurasi kustom untuk daemon rsyslog, di /etc/rsyslog.d/ folder , dengan kondisi pemfilteran berikut:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ganti <parameters> dengan nama aktual objek yang diwakili.)

   2. Mulai ulang rsyslog. Sintaks perintah yang khas adalah systemctl restart rsyslog.

   syslog-ng

   1. Edit file /etc/syslog-ng/conf.dkonfigurasi , menambahkan kondisi berikut:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ganti <LOG_FILE_NAME> dengan nama file log yang Anda buat.)

   2. Mulai ulang syslog-ng. Sintaks perintah yang khas adalah systemctl restart syslog-ng.

4. Buat DCR sesuai dengan petunjuk dalam Mengumpulkan log dari file teks dengan Agen Azure Monitor dan menyerap ke Microsoft Sentinel.

   • Ganti nama "RawData" kolom dengan nama "Message"kolom .

   • Ganti nilai "source" transformKql dengan nilai "source | project-rename Message=RawData".

   • {TABLE_NAME} Ganti tempat penampung dan {LOCAL_PATH_FILE} di templat DCR dengan nilai di langkah 1 dan 2. Ganti tempat penampung lain seperti yang diarahkan.

5. Konfigurasikan mesin tempat Agen Azure Monitor diinstal untuk membuka port syslog, dan konfigurasikan daemon syslog di sana untuk menerima pesan dari sumber eksternal. Untuk instruksi terperinci dan skrip untuk mengotomatiskan konfigurasi ini, lihat Mengonfigurasi penerus log untuk menerima log.

6. Konfigurasikan dan sambungkan penerima ZPA.

   1. Ikuti instruksi yang diberikan oleh ZPA. Pilih JSON sebagai templat log.
   2. Pilih Pengaturan > Pengaturan > Sistem Konfigurasi Pengontrol > Pengelogan Jarak Jauh dan aktifkan syslog.

Kembali ke atas

Konten terkait

• Menyerap pesan syslog dan CEF ke Microsoft Azure Sentinel dengan Agen Azure Monitor
• Syslog melalui AMA dan Common Event Format (CEF) melalui konektor AMA untuk Microsoft Azure Sentinel