Connettore MarkLogic Audit per Microsoft Sentinel

Il connettore dati MarkLogic offre la possibilità di inserire log MarkLogicAudit in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di MarkLogic .

Attributi del connettore

Attributo del connettore Descrizione
Tabelle di Log Analytics MarkLogicAudit_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Microsoft Corporation

Esempi di query

MarkLogicAudit - Tutte le attività.

MarkLogicAudit_CL

| sort by TimeGenerated desc

Istruzioni di installazione fornitore

NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias MarkLogicAudit e caricare il codice della funzione oppure fare clic qui nella seconda riga della query, immettere i nomi host dei dispositivi MarkLogicAudit e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

  1. Installare ed eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server Tomcat in cui vengono generati i log.

I log di MarkLogic Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare MarkLogicAudit per abilitare il controllo

Per abilitare il controllo per un gruppo, seguire questa procedura:

Accedere all'interfaccia Amministrazione con un browser;

Aprire la schermata Configurazione controllo (Gruppi > group_name > Controllo);

Selezionare True per il pulsante di opzione Controlla abilitato;

Configurare gli eventi di controllo e/o le restrizioni di controllo desiderati;

Fare clic su OK.

Per altri dettagli, vedere la documentazione di MarkLogic

  1. Configurare i log da raccogliere

Configurare la directory di log personalizzata da raccogliere

  1. Selezionare il collegamento precedente per aprire le impostazioni avanzate dell'area di lavoro
  2. Nel riquadro sinistro selezionare Impostazioni, selezionare Log personalizzati e fare clic su +Aggiungi log personalizzato
  3. Fare clic su Sfoglia per caricare un esempio di file di log MarkLogicAudit. Fare quindi clic su Avanti >
  4. Selezionare Timestamp come delimitatore di record e fare clic su Avanti >
  5. Selezionare Windows o Linux e immettere il percorso dei log MarkLogicAudit in base alla configurazione
  6. Dopo aver immesso il percorso, fare clic sul simbolo '+' da applicare, quindi fare clic su Avanti >
  7. Aggiungere MarkLogicAudit come nome del log personalizzato (il suffisso '_CL' verrà aggiunto automaticamente) e fare clic su Fine.

Convalidare la connettività

Potrebbero essere necessari fino a 20 minuti fino a quando i log non vengono visualizzati in Microsoft Sentinel.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.