Соединитель VMware vCenter для Microsoft Sentinel

  • Статья

Соединитель vCenter позволяет легко подключать журналы сервера vCenter к Microsoft Sentinel. Это дает вам больше сведений о центрах обработки данных вашей организации и улучшает возможности операций безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics vCenter_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Общее количество событий по типу события

vCenter 

| summarize count() by EventType

Вход и выход на сервер vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним VMware vCenter и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств VMware vCenter и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Если вы не установили решение vCenter из ContentHub, выполните действия , чтобы использовать псевдоним функции Kusto, vCenter
  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Выполните приведенные ниже действия по настройке, чтобы получить журналы сервера vCenter в Microsoft Sentinel. Дополнительные сведения об этих шагах см. в документации по Azure Monitor. Для журналов vCenter Server возникают проблемы при анализе данных агентом OMS с помощью параметров по умолчанию. Поэтому мы советуем записывать журналы в пользовательские таблицы vCenter_CL с помощью приведенных ниже инструкций.

  1. Войдите на сервер, на котором установлен агент OMS.

  2. Скачивание файла конфигурации vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Скопируйте vcenter.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Измените vcenter.conf следующим образом:

    a. vcenter.conf по умолчанию использует порт 22033 . Убедитесь, что этот порт не используется другим источником на сервере

    b. Если вы хотите изменить порт по умолчанию для vcenter.conf , убедитесь, что вы не используете порты monotoring /log analytic agent по умолчанию ,например, CEF использует TCP-порт 25226 или 25224)

    c. замените workspace_id реальным значением идентификатора рабочей области (строки 13 14 15 18)

  5. Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск

  6. Измените файл /etc/rsyslog.conf. Добавьте приведенный ниже шаблон в начале или перед разделом директив $template vcenter,"%timestamp% %hostname% %msg%\n"

  7. Создайте пользовательский файл conf в файле /etc/rsyslog.d/, например 10-vcenter.conf и добавьте следующие условия фильтра.

    При добавленной инструкции необходимо создать фильтр, который будет указывать журналы, поступающие с сервера vcenter, который будет перенаправлен в настраиваемую таблицу.

    справочник. Условия фильтрации — документация по rsyslog 8.18.0.master

    Ниже приведен пример фильтрации, который можно определить, это не завершено и потребует дополнительного тестирования для каждой установки. Значение @@127.0.0.1:1:2203, если $rawmsg содержит "vcenter-server"; vcenter & stop, если $rawmsg содержит vpxd, то @@127.0.0.1:22033; vcenter & stop

  8. Перезапуск rsyslog systemctl restart rsyslog

  9. Настройка и подключение устройств vCenter

Следуйте этим инструкциям , чтобы настроить vCenter для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.