Udostępnij za pośrednictwem

[Przestarzałe] Łącznik VMware vCenter dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik vCenter umożliwia łatwe łączenie dzienników serwera vCenter z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w centra danych organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics vcenter_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Łączna liczba zdarzeń według typu zdarzenia

vCenter 

| summarize count() by EventType

logowanie/wyjście do programu vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Wymagania wstępne

Aby przeprowadzić integrację z programem [Przestarzałe] VMware vCenter, upewnij się, że:

  • Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń służby celne: Opis dowolnego niestandardowego wymagania wstępnego

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias VMware vCenter i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń VMware vCenter i innych unikatowych identyfikatorów strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Jeśli nie zainstalowano rozwiązania vCenter z witryny ContentHub, wykonaj kroki , aby użyć aliasu funkcji Kusto, vCenter
  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki serwera vCenter w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor. W przypadku dzienników programu vCenter Server występują problemy podczas analizowania danych przez agenta pakietu OMS przy użyciu ustawień domyślnych. Dlatego zalecamy przechwycenie dzienników do niestandardowej tabeli vcenter_CL , korzystając z poniższych instrukcji.

  1. Zaloguj się do serwera, na którym zainstalowano agenta pakietu OMS.

  2. Pobierz plik konfiguracji vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Skopiuj plik vcenter.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Edytuj plik vcenter.conf w następujący sposób:

    a. Program vcenter.conf domyślnie używa portu 22033 . Upewnij się, że ten port nie jest używany przez żadne inne źródło na serwerze

    b. Jeśli chcesz zmienić port domyślny dla pliku vcenter.conf , upewnij się, że nie używasz domyślnych portów agenta monotoringu /log analitycznego agenta, np. (Na przykład format CEF używa portu TCP 25226 lub 25224)

    c. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 13,14,15,18)

  5. Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Zmodyfikuj plik /etc/rsyslog.conf — dodaj poniższy szablon najlepiej na początku /przed sekcją dyrektyw

     $template vcenter,"%timestamp% %hostname% %msg%\ n"

Uwaga — nie ma spacji między ukośnikiem(\) i znakiem "n" w powyższym poleceniu.

  1. Utwórz niestandardowy plik conf w pliku /etc/rsyslog.d/ na przykład 10-vcenter.conf i dodaj następujące warunki filtrowania.

Pobierz plik konfiguracji 10-vCenter.conf

 With an added statement you will need to create a filter which will specify the logs coming from the vcenter server to be forwarded to the custom table.

 reference: [Filter Conditions — rsyslog 8.18.0.master documentation](https://rsyslog.readthedocs.io/en/latest/configuration/filters.html)

 Here is an example of filtering that can be defined, this is not complete and will require additional testing for each installation.
	 if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
	 & stop 
	 if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
	 & stop

  1. Uruchom ponownie rsyslog systemctl restart rsyslog

  2. Konfigurowanie i łączenie urządzeń vCenter

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować program vCenter do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.