Compartilhar via

[Obsoleto] Conector do VMware vCenter para Microsoft Sentinel

  • Artigo

Importante

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

O conector do vCenter permite que você conecte facilmente seus logs de servidor do vCenter com o Microsoft Sentinel. Isso proporciona mais insights sobre os data center da sua organização e aprimora suas funcionalidades de operação de segurança.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics vcenter_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Total de eventos por Tipo de Evento

vCenter 

| summarize count() by EventType

fazer logon/logout no vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Pré-requisitos

Para integrar com o VMware vCenter [obsoleto], certifique-se de ter:

  • Inclua pré-requisitos personalizados se a conectividade exigir, caso contrário, exclua as personalizações: descrição de qualquer pré-requisito personalizado

Instruções de instalação do fornecedor

OBSERVAÇÃO: esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise o alias VMware vCenter e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host dos dispositivos VMware vCenter e quaisquer outros identificadores exclusivos para o fluxo de logs. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação ou atualização da solução.

  1. Se você não instalou a solução vCenter do ContentHub, siga as etapas para usar o alias da função Kusto, vCenter
  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Siga as etapas de configuração abaixo para obter os registros do servidor vCenter dentro do Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas. Para os registros do vCenter Server, temos problemas ao analisar os dados pelos dados do agente OMS usando as configurações padrão. Portanto, recomendamos capturar os logs na tabela personalizada vcenter_CL usando as instruções abaixo.

  1. Faça logon no servidor em que você instalou o agente do OMS.

  2. Baixe o arquivo de configuração vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Copie vcenter.conf para /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ folder. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Edite vcenter.conf da seguinte forma:

    a. vcenter.conf usa a porta 22033 como padrão. Verifique se essa porta não está sendo usada por nenhuma outra fonte em seu servidor

    b. Se você quiser alterar a porta padrão para vcenter.conf, certifique-se de não usar portas padrão do agente analítico/monotoring do Azure, ou seja, (Por exemplo, o CEF usa a porta TCP 25226 ou 25224)

    c. substitua workspace_id pelo valor real da sua ID do Workspace (linhas 13,14,15,18)

  5. Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Modifique o arquivo /etc/rsyslog.conf - adicione o modelo abaixo, de preferência no início/antes da seção de diretivas

     $template vcenter,"%timestamp% %hostname% %msg%\ n"

Observação: Não há espaço entre a barra (\) e o caractere 'n' no comando acima.

  1. Crie um arquivo de configuração personalizado em /etc/rsyslog.d/ por exemplo, 10-vcenter.conf e adicione as seguintes condições de filtro.

Faça download do arquivo de configuração 10-vCenter.conf

 With an added statement you will need to create a filter which will specify the logs coming from the vcenter server to be forwarded to the custom table.

 reference: [Filter Conditions — rsyslog 8.18.0.master documentation](https://rsyslog.readthedocs.io/en/latest/configuration/filters.html)

 Here is an example of filtering that can be defined, this is not complete and will require additional testing for each installation.
	 if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
	 & stop 
	 if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
	 & stop

  1. Reiniciar rsyslog systemctl restart rsyslog

  2. Configure e conecte o(s) dispositivo(s) vCenter

Siga estas instruções para configurar o vCenter para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.