Condividi tramite

[Deprecato] Connettore Citrix ADC (ex NetScaler) per Microsoft Sentinel

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Il connettore dati Citrix ADC (ex NetScaler) offre la possibilità di inserire i log di Citrix ADC in Microsoft Sentinel. Per inserire i log di Citrix WAF in Microsoft Sentinel, vedere questa documentazione

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics Syslog
Supporto regole di raccolta dati Trasformazione area di lavoro DCR
Supportata da: Microsoft Corporation

Esempi di query

Primi 10 tipi di evento

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Istruzioni per l’installazione di Vendor

Nota

  1. Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias CitrixADCEvent e caricare il codice della funzione oppure fare clic qui, questa funzione esegue il mapping degli eventi Citrix ADC (ex NetScaler) a Advanced Security Information Model ASIM. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

Nota

  1. Questo parser richiede un watchlist denominato Sources_by_SourceType

i. Se non è già stato creato watchlist, fare clic qui per creare.

ii. Aprire watchlist Sources_by_SourceType e aggiungere voci per questa origine dati.

iii. Il valore SourceType per CitrixADC è CitrixADC.

Per altri dettagli, vedere questa documentazione

  1. Installare e caricare l'agente per Linux

È in genere consigliabile installare l'agente in un computer diverso rispetto a quello in cui vengono generati i log.

I log syslog vengono raccolti solo dagli agenti Linux.

  1. Configurare i log da raccogliere

È possibile configurare le strutture da raccogliere e le rispettive gravità.

  1. In Configurazione delle impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.

  2. Selezionare Applica la configurazione seguente alle macchine virtuali e quindi selezionare le strutture e le gravità.

  3. Fare clic su Salva.

  4. Configurare Citrix ADC per l'inoltro dei log tramite Syslog

3.1 Passare alla scheda > Configurazione Controllo sistema > > Dei server Syslog >

3.2 Specificare il nome dell'azione Syslog.

3.3 Impostare l'indirizzo IP del server Syslog remoto e della porta.

3.4 Impostare Il tipo di trasporto come TCP o UDP a seconda della configurazione remota del server Syslog.

3.5 Per altri dettagli, vedere la documentazione di Citrix ADC (ex NetScaler).

  1. Controllare i log in Microsoft Sentinel

Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema Syslog.

NOTA: potrebbero essere necessari fino a 15 minuti prima che i nuovi log vengano visualizzati nella tabella Syslog.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.