Connettore proxy Squid per Microsoft Sentinel
Il connettore proxy Squid consente di connettere facilmente i log del proxy Squid con Microsoft Sentinel. In questo modo è possibile ottenere maggiori informazioni sul traffico proxy di rete dell'organizzazione e migliorare le funzionalità operative di sicurezza.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | SquidProxy_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Primi 10 risultati proxy
SquidProxy
| where isnotempty(ResultCode)
| summarize count() by ResultCode
| top 10 by count_
Top 10 Peer Host
SquidProxy
| where isnotempty(PeerHost)
| summarize count() by PeerHost
| top 10 by count_
Istruzioni di installazione fornitore
NOTA: questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias Squid Proxy e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query immettere i nomi host dei dispositivi SquidProxy e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server proxy Squid in cui vengono generati i log.
I log dal proxy Squid distribuito in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare i log da raccogliere
Configurare la directory di log personalizzata da raccogliere
- Selezionare il collegamento precedente per aprire le impostazioni avanzate dell'area di lavoro
- Nel riquadro sinistro selezionare Dati, selezionare Log personalizzati e fare clic su Aggiungi+
- Fare clic su Sfoglia per caricare un esempio di file di log del proxy Squid, ad esempio access.log o cache.log. Fare quindi clic su Avanti >
- Selezionare Nuova riga come delimitatore di record e fare clic su Avanti >
- Selezionare Windows o Linux e immettere il percorso dei log del proxy Squid. I percorsi predefiniti sono:
- Directory di Windows :
C:\Squid\var\log\squid\*.log - Directory Linux :
/var/log/squid/*.log
- Dopo aver immesso il percorso, fare clic sul simbolo '+' da applicare, quindi fare clic su Avanti >
- Aggiungere SquidProxy_CL come nome del log personalizzato e fare clic su Fine
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.