Microsoft Sentinel 用 PostgreSQL Events コネクタ
PostgreSQL データ コネクタには、PostgreSQL イベントを Microsoft Sentinel に取り込む機能があります。 詳細については、PostgreSQL のドキュメントを参照してください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Kusto 関数エイリアス | PostgreSQLEvent |
| Kusto 関数 URL | https://aka.ms/sentinel-postgresql-parser |
| Log Analytics テーブル | PostgreSQL_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
PostgreSQL エラー
PostgreSQLEvent
| where EventSeverity in~ ('ERROR', 'FATAL')
| sort by EventEndTime
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づく PostgreSQL パーサーに依存して正常に動作します。 このパーサーは、ソリューションのインストールと共にインストールされます。
- Linux または Windows 用エージェントをインストールおよびオンボードする
ログが生成される Tomcat サーバーにエージェントをインストールします。
Linux または Windows サーバー上にデプロイされた PostgreSQL サーバーからのログは、Linux または Windows エージェントによって収集されます。
ログをファイルに書き込むように PostgreSQL を構成する
ログをファイルに書き込むように postgresql.conf ファイルを編集します。
log_destination = 'stderr'
logging_collector = on
次のパラメーターを設定します: log_directory と log_filename。 詳細については、PostgreSQL のドキュメントを参照してください。
- 収集するログを構成する
収集するカスタム ログ ディレクトリを構成します
- 上のリンクを選び、ワークスペースの詳細設定を開きます
- 左ペインから [設定] を選び、[カスタム ログ] を選んで、[+ カスタム ログの追加] をクリックします
- [参照] をクリックして PostgreSQL ログ ファイルのサンプルをアップロードします。 次に、[次へ >] をクリックします
- レコード区切り記号として [タイムスタンプ] を選び、[次へ >] をクリックします
- お使いの構成に応じて [Windows] または [Linux] を選び、PostgreSQL ログのパスを入力します (例: 一部の Linux ディストリビューションでは、既定のパスが /var/log/postgresql/ です)
- パスを入力した後、'+' 記号をクリックして適用し、[次へ >] をクリックします
- PostgreSQL をカスタム ログ名として追加し ('_CL' サフィックスが自動的に追加されます)、[完了] をクリックします。
接続の検証
Microsoft Sentinel にログが表示され始めるまでに、最大 20 分かかる場合があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。