Соединитель аудита базы данных Oracle для Microsoft Sentinel

  • Статья

Соединитель данных аудита базы данных Oracle предоставляет возможность приема событий аудита Базы данных Oracle в Microsoft Sentinel с помощью системного журнала. Дополнительные сведения см. в документации .

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (OracleDatabaseAudit)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 источников

OracleDatabaseAuditEvent

| summarize count() by SrcDvcHostname

| top 10 by count_

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Oracle Database Audit и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка событий аудита базы данных Oracle для отправки в системный журнал

Следуйте приведенным ниже инструкциям

  1. Создайте базу данных Oracle, выполнив указанные ниже действия.

  2. Войдите в базу данных Oracle, созданную на приведенном выше шаге , выполните указанные ниже действия.

  3. Включите единое ведение журнала по системе , изменив систему, чтобы включить унифицированное ведение журнала, выполнив следующие действия.

  4. Создайте и включите политику аудита для единого аудита, выполните следующие действия.

  5. Включение системного журнала и записи Просмотр событий для единого аудита выполните следующие действия.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.