Поделиться через

[Не рекомендуется] Соединитель APACHE HTTP Server для Microsoft Sentinel

  • Статья

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель данных Apache HTTP Server предоставляет возможность приема событий Apache HTTP Server в Microsoft Sentinel. Дополнительные сведения см. в документации по Apache Logs.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics ApacheHTTPServer_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 клиентов (исходный IP-адрес)

ApacheHTTPServer

| summarize count() by SrcIpAddr

| top 10 by count_

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним ApacheHTTPServer и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux или Windows

Установите агент на HTTP-сервере Apache, где создаются журналы.

Журналы из Apache HTTP Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. В левой области выберите "Данные", выберите "Пользовательские журналы " и нажмите кнопку "Добавить+ "
  3. Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала Apache HTTP Server (например, access.log или error.log). Затем нажмите кнопку "Далее" >
  4. Выберите новую строку в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам Apache HTTP в зависимости от конфигурации. Пример:
  • Каталог Windows : C:\Server\bin\Apache24\logs\*.log
  • Каталог Linux : /var/log/httpd/*.log
  1. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
  2. Добавление ApacheHTTPServer_CL в качестве настраиваемого имени журнала и нажатие кнопки "Готово"

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.