[Obsoleto] Conector de auditoria do MarkLogic para Microsoft Sentinel
Importante
A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.
O conector de dados MarkLogic oferece a capacidade de ingerir logs do MarkLogicAudit no Microsoft Sentinel. Consulte a documentação do MarkLogic para saber mais.
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | MarkLogicAudit_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todas as atividades do MarkLogicAudit.
MarkLogicAudit_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções, pesquise o alias MarkLogicAudit e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host de seus dispositivos MarkLogicAudit e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor Tomcat em que os logs são gerados.
Os logs do servidor do MarkLogic implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
- Configurar o MarkLogicAudit para habilitar a auditoria
Execute as seguintes etapas para habilitar a auditoria para um grupo:
Acesse a Interface de Administração com um navegador;
Abra a tela Configuração de auditoria (Grupos > group_name > Auditoria);
Selecione True para o botão de opção Auditoria habilitada;
Configure todos os eventos de auditoria e/ou as restrições de auditoria desejadas;
Clique em OK.
Confira a documentação do MarkLogic para obter mais detalhes
- Configurar os logs a serem coletados
Configure o diretório de log personalizado a ser coletado
- Selecione o link acima para abrir as configurações avançadas do workspace
- No painel esquerdo, selecione Configurações, Logs personalizados e clique em +Adicionar log personalizado
- Clique em Procurar para carregar um exemplo de um arquivo de log do MarkLogicAudit. Em seguida, clique em Avançar >
- Selecione Carimbo de data/hora como o delimitador do registro e clique em Avançar >
- Selecione Windows ou Linux e insira o caminho para os logs do MarkLogicAudit com base na sua configuração
- Após ter inserido o caminho, clique no símbolo "+" para aplicar e, a seguir, clique em Avançar >
- Adicione MarkLogicAudit como Nome do log personalizado (o sufixo '_CL' será adicionado automaticamente) e clique em Concluído.
Validar a conectividade
Pode demorar até 20 minutos para que os logs comecem a aparecer no Microsoft Sentinel.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.