Delen via

[Afgeschaft] VMware vCenter-connector voor Microsoft Sentinel

  • Artikel

Belangrijk

Logboekverzameling van veel apparaten en apparaten wordt nu ondersteund door de Common Event Format (CEF) via AMA, Syslog via AMA of aangepaste logboeken via AMA-gegevensconnector in Microsoft Sentinel. Zie Uw Microsoft Sentinel-gegevensconnector zoeken voor meer informatie.

Met de vCenter-connector kunt u eenvoudig uw vCenter-serverlogboeken verbinden met Microsoft Sentinel. Dit geeft u meer inzicht in de datacenters van uw organisatie en verbetert uw beveiligingsmogelijkheden.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector Beschrijving
Log Analytics-tabellen vcenter_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Microsoft Corporation

Voorbeelden van query's

Totaal aantal gebeurtenissen per gebeurtenistype

vCenter 

| summarize count() by EventType

aanmelden/afmelden bij vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Vereisten

Als u wilt integreren met [Afgeschaft] VMware vCenter, moet u het volgende hebben:

  • Voeg aangepaste vereisten toe als de connectiviteit vereist is- verwijder anders douane: Beschrijving voor aangepaste vereisten

Installatie-instructies van leverancier

OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias VMware vCenter en laadt u de functiecode of klikt u hier, op de tweede regel van de query, voert u de hostnaam(s) van uw VMware vCenter-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.

  1. Als u de vCenter-oplossing niet hebt geïnstalleerd vanuit ContentHub , volgt u de stappen voor het gebruik van de Kusto-functiealias, vCenter
  1. De agent voor Linux installeren en onboarden

Normaal gesproken moet u de agent installeren op een andere computer dan de agent waarop de logboeken worden gegenereerd.

Syslog-logboeken worden alleen verzameld van Linux-agents .

  1. De logboeken configureren die moeten worden verzameld

Volg de onderstaande configuratiestappen om vCenter-serverlogboeken op te halen in Microsoft Sentinel. Raadpleeg de Documentatie voor Azure Monitor voor meer informatie over deze stappen. Voor vCenter Server-logboeken hebben we problemen bij het parseren van de gegevens door OMS-agentgegevens met behulp van standaardinstellingen. Daarom raden we u aan om de logboeken vast te leggen in aangepaste tabellen vcenter_CL met behulp van onderstaande instructies.

  1. Meld u aan bij de server waarop u de OMS-agent hebt geïnstalleerd.

  2. Configuratiebestand vCenter.conf downloaden wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Kopieer vcenter.conf naar de map /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Bewerk vcenter.conf als volgt:

    a. vcenter.conf gebruikt standaard poort 22033 . Zorg ervoor dat deze poort niet wordt gebruikt door een andere bron op uw server

    b. Als u de standaardpoort voor vcenter.conf wilt wijzigen, moet u ervoor zorgen dat u geen standaardpoorten voor Azure-monotoring /loganalyse gebruikt, bijvoorbeeld cef gebruikt TCP-poort 25226 of 25224)

    c. vervang workspace_id door de werkelijke waarde van uw werkruimte-id (regel 13.14.15.18)

  5. Sla wijzigingen op en start de Azure Log Analytics-agent voor de Linux-service opnieuw met de volgende opdracht: sudo /opt/microsoft/omsagent/bin/service_control opnieuw opstarten

  6. Bestand /etc/rsyslog.conf wijzigen - voeg de onderstaande sjabloon toe bij voorkeur aan het begin / vóór de instructies sectie

     $template vcenter,"%timestamp% %hostname% %msg%\ n"

Opmerking: er is geen spatie tussen slash(\) en teken 'n' in de bovenstaande opdracht.

  1. Maak een aangepast conf-bestand in /etc/rsyslog.d/ bijvoorbeeld 10-vcenter.conf en voeg de volgende filtervoorwaarden toe.

Configuratiebestand 10-vCenter.conf downloaden

 With an added statement you will need to create a filter which will specify the logs coming from the vcenter server to be forwarded to the custom table.

 reference: [Filter Conditions — rsyslog 8.18.0.master documentation](https://rsyslog.readthedocs.io/en/latest/configuration/filters.html)

 Here is an example of filtering that can be defined, this is not complete and will require additional testing for each installation.
	 if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
	 & stop 
	 if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
	 & stop

  1. Rsyslog systemctl restart rsyslog opnieuw starten

  2. De vCenter-apparaten configureren en verbinden

Volg deze instructies om het vCenter zo te configureren dat syslog wordt doorgestuurd. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.