Соединитель аудита MongoDB для Microsoft Sentinel

  • Статья

Соединитель данных MongoDB предоставляет возможность приема MongoDBAudit в Microsoft Sentinel. Дополнительные сведения см. в документации по MongoDB.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics MongoDBAudit_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

MongoDBAudit — все действия.

MongoDBAudit

| sort by TimeGenerated desc

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним MongoDBAudit и загрузите код функции или щелкните здесь во второй строке запроса, введите имена узлов устройств MongoDBAudit и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux или Windows

Установите агент на сервере Tomcat, где создаются журналы.

Журналы из MongoDB Enterprise Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка MongoDBAudit для записи журналов в файлы

Измените файл mongod.conf (для Linux) или mongod.cfg (для Windows), чтобы записать журналы в файлы:

dbPath: data/db

путь: data/db/auditLog.json

Задайте следующие параметры: dbPath и путь. Дополнительные сведения см. в документации по MongoDB

  1. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. В левой области выберите Параметры, выберите "Настраиваемые журналы" и нажмите кнопку "Добавить настраиваемый журнал"
  3. Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала MongoDBAudit. Затем нажмите кнопку "Далее" >
  4. Выберите метку времени в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам MongoDBAudit на основе конфигурации
  6. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
  7. Добавьте MongoDBAudit в качестве настраиваемого имени журнала (суффикс _CL будет добавлен автоматически) и нажмите кнопку "Готово".

Проверка подключения

Это может занять более 20 минут, пока журналы не начнут отображаться в Microsoft Sentinel.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.