Dziennik systemowy za pośrednictwem łącznika danych usługi AMA — konfigurowanie określonego urządzenia lub urządzenia na potrzeby pozyskiwania danych usługi Microsoft Sentinel

Zbieranie dzienników z wielu urządzeń zabezpieczeń i urządzeń jest obsługiwane przez dziennik syslog za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. W tym artykule wymieniono instrukcje instalacji dostawcy dotyczące określonych urządzeń zabezpieczeń i urządzeń korzystających z tego łącznika danych. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, więcej informacji lub miejsca, w którym informacje są niedostępne dla urządzenia lub urządzenia zabezpieczeń.

Aby przekazać dane do obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel, wykonaj kroki opisane w temacie Pozyskiwanie dzienników syslog i komunikatów CEF do usługi Microsoft Sentinel za pomocą agenta usługi Azure Monitor. Po wykonaniu tych kroków zainstaluj dziennik syslog za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. Następnie użyj instrukcji odpowiedniego dostawcy w tym artykule, aby ukończyć instalację.

Aby uzyskać więcej informacji na temat powiązanego rozwiązania usługi Microsoft Sentinel dla każdego z tych urządzeń lub urządzeń, wyszukaj w witrynie Azure Marketplace szablony rozwiązań typu>produktu lub zapoznaj się z rozwiązaniem z centrum zawartości w usłudze Microsoft Sentinel.

Barracuda CloudGen Firewall

Postępuj zgodnie z instrukcjami , aby skonfigurować przesyłanie strumieniowe dziennika systemu. Użyj adresu IP lub nazwy hosta dla maszyny z systemem Linux z zainstalowanym agentem usługi Microsoft Sentinel dla docelowego adresu IP .

Blackberry CylancePROTECT

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować aplikację CylancePROTECT do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Infrastruktura zorientowana na aplikacje Cisco (ACI)

Skonfiguruj system Cisco ACI do wysyłania dzienników za pośrednictwem dziennika systemowego do serwera zdalnego, na którym jest instalowany agent. Wykonaj następujące kroki, aby skonfigurować lokalizację docelową dziennika systemowego, grupę docelową i źródło dziennika systemowego.

Ten łącznik danych został opracowany przy użyciu oprogramowania Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

Postępuj zgodnie z tymi instrukcjami, aby skonfigurować zdalne lokalizacje zbierania dzienników systemu w ramach wdrożenia oprogramowania Cisco ISE.

Cisco Stealthwatch

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki aplikacji Cisco Stealthwatch w usłudze Microsoft Sentinel.

1. Zaloguj się do konsoli zarządzania Stealthwatch (SMC) jako administrator.

2. Na pasku menu wybierz pozycję Zarządzanie odpowiedziami na konfigurację>.

3. W sekcji Akcje w menu Zarządzanie odpowiedziami wybierz pozycję Dodaj > komunikat dziennika systemowego.

4. W oknie Dodawanie akcji komunikatu dziennika systemowego skonfiguruj parametry.

5. Wprowadź następujący format niestandardowy:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Wybierz format niestandardowy z listy i przycisk OK.

7. Wybierz pozycję Reguły zarządzania odpowiedziami>.

8. Wybierz pozycję Dodaj i Alarm hosta.

9. Podaj nazwę reguły w polu Nazwa .

10. Utwórz reguły, wybierając wartości z menu Typ i Opcje . Aby dodać więcej reguł, wybierz ikonę wielokropka. W przypadku alarmu hosta połącz jak najwięcej możliwych typów w instrukcji .

Ten łącznik danych został opracowany przy użyciu oprogramowania Cisco Stealthwatch w wersji 7.3.2

Cisco Unified Computing Systems (UCS)

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować aplikację Cisco UCS do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias CiscoUCS. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Cisco Web Security Appliance (WSA)

Skonfiguruj aplikację Cisco, aby przekazywać dzienniki za pośrednictwem dziennika systemowego do serwera zdalnego, na którym jest instalowany agent. Wykonaj następujące kroki , aby skonfigurować aplikację Cisco WSA do przekazywania dzienników za pośrednictwem dziennika systemowego

Wybierz pozycję Wypychanie dziennika systemowego jako metodę pobierania.

Ten łącznik danych został opracowany przy użyciu usługi AsyncOS 14.0 dla urządzenia Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

Skonfiguruj usługę Citrix ADC (dawniej NetScaler), aby przekazywać dzienniki za pośrednictwem dziennika systemowego.

1. Przejdź do karty Konfiguracja karta > Inspekcja > systemu > Serwery dziennika > systemowego kartę
2. Określ nazwę akcji Dziennika Systemowego.
3. Ustaw adres IP zdalnego serwera Syslog i portu.
4. Ustaw typ transportu jako TCP lub UDP w zależności od konfiguracji zdalnego serwera syslog.
5. Aby uzyskać więcej informacji, zobacz dokumentację citrix ADC (dawniej NetScaler).

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania. Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias CitrixADCEvent. Alternatywnie możesz bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Ten analizator wymaga listy kontrolnej o nazwie Sources_by_SourceType.

i. Jeśli nie masz jeszcze utworzonej listy do obejrzenia, utwórz listę obserwowanych z usługi Microsoft Sentinel w witrynie Azure Portal.

ii. Otwórz listę Sources_by_SourceType obserwowanych i dodaj wpisy dla tego źródła danych.

ii. Wartość SourceType dla usługi CitrixADC to CitrixADC. Aby uzyskać więcej informacji, zobacz Zarządzanie analizatorami zaawansowanego modelu informacji o zabezpieczeniach (ASIM).

Ochrona przed utratą danych w usłudze Digital Guardian

Wykonaj następujące kroki, aby skonfigurować usługę Digital Guardian do przekazywania dzienników za pośrednictwem dziennika systemowego:

1. Zaloguj się do konsoli zarządzania usługi Digital Guardian.
2. Wybierz pozycję Eksportowanie>danych obszaru roboczego>Utwórz eksport.
3. Z listy Źródła danych wybierz pozycję Alerty lub Zdarzenia jako źródło danych.
4. Z listy Typ eksportu wybierz pozycję Syslog.
5. Z listy Typ wybierz pozycję UDP lub TCP jako protokół transportowy.
6. W polu Serwer wpisz adres IP zdalnego serwera syslog.
7. W polu Port wpisz 514 (lub inny port, jeśli serwer syslog został skonfigurowany do używania portu innego niż domyślny).
8. Z listy Poziom ważności wybierz poziom ważności.
9. Zaznacz pole wyboru Jest aktywne.
10. Wybierz Dalej.
11. Z listy dostępnych pól dodaj pola Alert lub Zdarzenie dla eksportu danych.
12. Wybierz kryteria dla pól w eksporcie danych i Dalej.
13. Wybierz grupę dla kryteriów i Dalej.
14. Wybierz pozycję Zapytanie testowe.
15. Wybierz Dalej.
16. Zapisz eksport danych.

Integracja z usługą PROTECT w usłudze PROTECT

Skonfiguruj program DEFENDER PROTECT, aby wysyłać wszystkie zdarzenia za pośrednictwem dziennika systemowego.

1. Postępuj zgodnie z tymi instrukcjami , aby skonfigurować dane wyjściowe dziennika syslog. Pamiętaj, aby wybrać usługę BSD jako format i tcp jako transport.
2. Postępuj zgodnie z tymi instrukcjami , aby wyeksportować wszystkie dzienniki do dziennika systemowego. Wybierz format JSON jako format danych wyjściowych.

Exabeam Advanced Analytics

Postępuj zgodnie z tymi instrukcjami , aby wysyłać dane dziennika aktywności usługi Exabeam Advanced Analytics za pośrednictwem dziennika syslog.

Ten łącznik danych został opracowany przy użyciu usługi Exabeam Advanced Analytics i54 (Syslog)

Forescout

Wykonaj poniższe kroki, aby uzyskać dzienniki forescout w usłudze Microsoft Sentinel.

1. Wybierz urządzenie do skonfigurowania.
2. Postępuj zgodnie z tymi instrukcjami , aby przekazać alerty z platformy Forescout do serwera syslog.
3. Skonfiguruj ustawienia na karcie Wyzwalacze dziennika systemowego .

Ten łącznik danych został opracowany przy użyciu wtyczki Forescout Syslog w wersji 3.6

Gitlab

Postępuj zgodnie z tymi instrukcjami , aby wysłać dane dziennika inspekcji gitlab za pośrednictwem dziennika syslog.

Powiązanie isc

1. Postępuj zgodnie z tymi instrukcjami, aby skonfigurować powiązanie ISC z przekazywaniem dziennika systemowego: dzienniki DNS.
2. Skonfiguruj dziennik syslog, aby wysyłać ruch dziennika systemowego do agenta. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Infoblox Network Identity Operating System (NIOS)

Postępuj zgodnie z tymi instrukcjami , aby włączyć przekazywanie dzienników syslogu w dziennikach usługi Infoblox NIOS. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias Infoblox. Alternatywnie możesz bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Ten analizator wymaga listy kontrolnej o nazwie Sources_by_SourceType.

i. Jeśli nie masz jeszcze utworzonej listy do obejrzenia, utwórz listę obserwowanych z usługi Microsoft Sentinel w witrynie Azure Portal.

ii. Otwórz listę Sources_by_SourceType obserwowanych i dodaj wpisy dla tego źródła danych.

ii. Wartość SourceType elementu InfobloxNIOS to InfobloxNIOS.

Aby uzyskać więcej informacji, zobacz Zarządzanie analizatorami zaawansowanego modelu informacji o zabezpieczeniach (ASIM).

Ivanti Unified Endpoint Management

Postępuj zgodnie z instrukcjami , aby skonfigurować akcje alertów w celu wysyłania dzienników do serwera syslog.

Ten łącznik danych został opracowany przy użyciu usługi Ivanti Unified Endpoint Management Release 2021.1 w wersji 11.0.3.374

Juniper SRX

1. Wykonaj następujące instrukcje, aby skonfigurować juniper SRX do przesyłania dalej dziennika systemowego:

   • Dzienniki ruchu (dzienniki zasad zabezpieczeń)
   • Dzienniki systemowe

2. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

McAfee Network Security Platform

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki platformy zabezpieczeń sieci McAfee® w usłudze Microsoft Sentinel.

1. Prześlij alerty z menedżera do serwera syslog.

2. Musisz dodać profil powiadomień dziennika systemowego. Podczas tworzenia profilu, aby upewnić się, że zdarzenia są poprawnie sformatowane, wprowadź następujący tekst w polu tekstowym Wiadomość:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Ten łącznik danych został opracowany przy użyciu platformy zabezpieczeń sieci McAfee®: 10.1.x.

McAfee ePolicy Orchestrator

Skontaktuj się z dostawcą, aby uzyskać wskazówki dotyczące rejestrowania serwera syslog.

Microsoft Sysmon dla systemu Linux

Ten łącznik danych zależy od analizatorów ASIM opartych na funkcji Kusto, które działają zgodnie z oczekiwaniami. Wdróż analizatory.

Wdrażane są następujące funkcje:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Dowiedz się więcej

Nasuni

Postępuj zgodnie z instrukcjami w przewodniku po konsoli zarządzania Nasuni, aby skonfigurować urządzenia Nasuni Edge do przesyłania dalej zdarzeń dziennika systemowego. Użyj adresu IP lub nazwy hosta urządzenia z systemem Linux z uruchomionym agentem usługi Azure Monitor w polu Konfiguracja serwerów dla ustawień dziennika systemowego.

OpenVPN

Zainstaluj agenta na serwerze, na którym jest przekazywany protokół OpenVPN. Dzienniki serwera OpenVPN są zapisywane w typowym pliku dziennika systemowego (w zależności od używanej dystrybucji systemu Linux: np. /var/log/messages).

Inspekcja bazy danych Oracle

Wykonaj poniższe czynności.

1. Utwórz bazę danych Oracle Wykonaj następujące kroki.
2. Zaloguj się do utworzonej bazy danych Oracle. Wykonaj te czynności.
3. Włącz ujednolicone rejestrowanie za pośrednictwem dziennika systemowego przez polecenie Alter the system, aby włączyć ujednolicone rejestrowanie, wykonując następujące kroki.
4. Utwórz i włącz zasady inspekcji na potrzeby ujednoliconej inspekcji Wykonaj następujące kroki.
5. Włączanie dziennika systemowego i przechwytywania Podgląd zdarzeń dla ujednoliconego dziennika inspekcji Wykonaj następujące kroki.

Pulse Connect Secure

Postępuj zgodnie z instrukcjami , aby włączyć przesyłanie strumieniowe dziennika systemowego dzienników Pulse Connect Secure. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias PulseConnectSecure. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

RSA SecurID

Wykonaj poniższe kroki, aby uzyskać dzienniki menedżera uwierzytelniania RSA® SecurID w usłudze Microsoft Sentinel. Postępuj zgodnie z tymi instrukcjami , aby przekazać alerty z Menedżera do serwera syslog.

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias RSASecurIDAMEvent. Alternatywnie możesz bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Ten łącznik danych został opracowany przy użyciu menedżera uwierzytelniania RSA SecurID w wersji 8.4 i 8.5

Sophos XG Firewall

Postępuj zgodnie z tymi instrukcjami , aby włączyć przesyłanie strumieniowe dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora. Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias SophosXGFirewall. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Symantec Endpoint Protection

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować program Symantec Endpoint Protection do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora. Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias SymantecEndpointProtection. Alternatywnie możesz bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Symantec ProxySG

1. Zaloguj się do konsoli zarządzania blue coat.

2. Wybierz pozycję Formaty rejestrowania>dostępu do konfiguracji.>

3. Wybierz Nowy.

4. Wprowadź unikatową nazwę w polu Nazwa formatu.

5. Wybierz przycisk radiowy w polu Ciąg formatu niestandardowego i wklej następujący ciąg w polu.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Wybierz przycisk OK.

7. Wybierz pozycję Zastosujn.

8. Postępuj zgodnie z tymi instrukcjami , aby włączyć przesyłanie strumieniowe dzienników usługi Syslog w dziennikach dostępu . Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias SymantecProxySG. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

Symantec VIP

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować bramę Symantec VIP Enterprise Gateway do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias SymantecVIP. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

VMware ESXi

1. Postępuj zgodnie z tymi instrukcjami, aby skonfigurować program VMware ESXi do przesyłania dalej dziennika systemowego:

   • VMware ESXi 3.5 i 4.x
   • VMware ESXi 5.0+

2. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .

Uwaga

Funkcjonalność tego łącznika danych jest zależna od analizatora opartego na funkcji Kusto, który jest integralną częścią jego działania. Ten analizator jest wdrażany w ramach instalacji rozwiązania.

Zaktualizuj analizator i określ nazwę hosta maszyn źródłowych przesyłających dzienniki w pierwszym wierszu analizatora.

Aby uzyskać dostęp do kodu funkcji w usłudze Log Analytics, przejdź do sekcji Dzienniki usługi Log Analytics/Microsoft Sentinel, wybierz pozycję Funkcje i wyszukaj alias VMwareESXi. Możesz też bezpośrednio załadować kod funkcji. Aktualizacja może potrwać około 15 minut.

WatchGuard Firebox

Postępuj zgodnie z tymi instrukcjami , aby wysłać dane dziennika WatchGuard Firebox za pośrednictwem dziennika syslog.

Powiązana zawartość

• Pozyskiwanie dzienników syslog i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor
• Dziennik systemu za pośrednictwem usługi AMA i common Event Format (CEF) za pośrednictwem łączników usługi AMA dla usługi Microsoft Sentinel