[Не рекомендуется] Соединитель аудита MongoDB для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель данных MongoDB предоставляет возможность приема MongoDBAudit в Microsoft Sentinel. Дополнительные сведения см. в документации по MongoDB.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | MongoDBAudit_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
MongoDBAudit — все действия.
MongoDBAudit_CL
| sort by TimeGenerated desc
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним MongoDBAudit и загрузите код функции или щелкните здесь во второй строке запроса, введите имена узлов устройств MongoDBAudit и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере Tomcat, где создаются журналы.
Журналы из MongoDB Enterprise Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка MongoDBAudit для записи журналов в файлы
Измените файл mongod.conf (для Linux) или mongod.cfg (для Windows), чтобы записать журналы в файлы:
dbPath: data/db
путь: data/db/auditLog.json
Задайте следующие параметры: dbPath и путь. Дополнительные сведения см. в документации по MongoDB
- Настройка журналов для сбора
Настройка настраиваемого каталога журнала для сбора
- Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
- В левой области выберите "Параметры", выберите "Настраиваемые журналы" и нажмите кнопку "Добавить настраиваемый журнал"
- Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала MongoDBAudit. Затем нажмите кнопку "Далее" >
- Выберите метку времени в качестве разделителя записей и нажмите кнопку "Далее" >
- Выберите Windows или Linux и введите путь к журналам MongoDBAudit на основе конфигурации
- После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
- Добавьте MongoDBAudit в качестве настраиваемого имени журнала (суффикс _CL будет добавлен автоматически) и нажмите кнопку "Готово".
Проверка подключения
Это может занять более 20 минут, пока журналы не начнут отображаться в Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.