Udostępnij za pośrednictwem

[Przestarzałe] Łącznik squid Proxy dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik Squid Proxy umożliwia łatwe łączenie dzienników serwera proxy Squid z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w ruch serwera proxy sieci organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics SquidProxy_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

10 pierwszych wyników serwera proxy

SquidProxy 

| where isnotempty(ResultCode) 

| summarize count() by ResultCode 

| top 10 by count_

10 najlepszych hostów równorzędnych

SquidProxy 

| where isnotempty(PeerHost) 

| summarize count() by PeerHost 

| top 10 by count_

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias Squid Proxy i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń SquidProxy i inne unikatowe identyfikatory dla strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux lub Windows

Zainstaluj agenta na serwerze proxy Squid, na którym są generowane dzienniki.

Dzienniki z serwera proxy squid wdrożone na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .

  1. Konfigurowanie dzienników do zebrania

Konfigurowanie niestandardowego katalogu dziennika do zbierania

  1. Wybierz powyższy link, aby otworzyć ustawienia zaawansowane obszaru roboczego
  2. W okienku po lewej stronie wybierz pozycję Dane, wybierz pozycję Dzienniki niestandardowe, a następnie kliknij pozycję Dodaj+
  3. Kliknij przycisk Przeglądaj , aby przekazać przykład pliku dziennika serwera proxy squid (np. access.log lub cache.log). Następnie kliknij przycisk Dalej >
  4. Wybierz pozycję Nowy wiersz jako ogranicznik rekordu, a następnie kliknij przycisk Dalej. >
  5. Wybierz pozycję Windows lub Linux i wprowadź ścieżkę do dzienników serwera proxy squid. Ścieżki domyślne to:
  • Katalog systemu Windows : C:\Squid\var\log\squid\*.log
  • Katalog systemu Linux : /var/log/squid/*.log
  1. Po wprowadzeniu ścieżki kliknij symbol "+", aby zastosować, a następnie kliknij przycisk Dalej >
  2. Dodaj SquidProxy_CL jako nazwę dziennika niestandardowego i kliknij przycisk Gotowe

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.