Пользовательские журналы с помощью соединителя данных AMA— настройка приема данных в Microsoft Sentinel из определенных приложений

Пользовательские журналы Microsoft Sentinel через соединитель данных AMA поддерживает сбор журналов из текстовых файлов из нескольких различных приложений и устройств безопасности сети.

В этой статье содержатся сведения о конфигурации, уникальные для каждого конкретного приложения безопасности, которые необходимо предоставить при настройке этого соединителя данных. Эти сведения предоставляются поставщиками приложений. Обратитесь к поставщику за обновлениями, для получения дополнительных сведений или при недоступности сведений для приложения безопасности. Полные инструкции по установке и настройке соединителя см. в статье Сбор журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel, но ознакомьтесь с этой статьей, чтобы получить уникальные сведения для каждого приложения.

В этой статье также показано, как принять данные из этих приложений в рабочую область Microsoft Sentinel без использования соединителя. Эти шаги включают установку агента Azure Monitor. После установки соединителя используйте инструкции, соответствующие приложению, как показано далее в этой статье, чтобы завершить настройку.

Устройства, из которых собираются пользовательские текстовые журналы, делятся на две категории:

• Приложения, установленные на компьютерах Windows или Linux

  Приложение хранит файлы журналов на компьютере, где он установлен. Для сбора этих журналов агент Azure Monitor устанавливается на этом же компьютере.

• Устройства, автономные на закрытых (обычно на основе Linux) устройств

  Эти устройства хранят журналы на внешнем сервере системного журнала. Для сбора этих журналов агенты Azure Monitor, установленные на этом внешнем сервере системного журнала, часто называются сервером пересылки журналов.

Дополнительные сведения о связанном решении Microsoft Sentinel для каждого из этих приложений выполните поиск в Azure Marketplace для шаблонов решений типа>продукта или просмотрите решение из центра содержимого в Microsoft Sentinel.

Внимание

• Пользовательские журналы через соединитель данных AMA в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

• Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Общие инструкции

Действия по сбору журналов с компьютеров, в которых размещаются приложения и устройства, соответствуют общему шаблону:

1. Создайте целевую таблицу в Log Analytics (или расширенную охоту, если вы находитесь на портале Defender).

2. Создайте правило сбора данных (DCR) для приложения или устройства.

3. Разверните агент Azure Monitor на компьютере, на котором размещено приложение, или на внешний сервер (сервер пересылки журналов), который собирает журналы из устройств, если он еще не развернут.

4. Настройте ведение журнала в приложении. Если устройство настроено для отправки журналов на внешний сервер (средство пересылки журналов), на котором установлен агент Azure Monitor.

Эти общие действия (за исключением последней) автоматизированы при использовании пользовательских журналов через соединитель данных AMA и подробно описаны в статье "Сбор журналов из текстовых файлов с агентом Azure Monitor и приемом в Microsoft Sentinel".

Конкретные инструкции для каждого типа приложения

Сведения о каждом приложении, необходимые для выполнения этих действий, представлены в остальной части этой статьи. Некоторые из этих приложений находятся на автономных устройствах и требуют другого типа конфигурации, начиная с использования средства пересылки журналов.

Каждый раздел приложения содержит следующие сведения:

• Уникальные параметры для предоставления конфигурации пользовательских журналов через соединитель данных AMA , если вы используете его.
• Структура процедуры, необходимой для приема данных вручную, без использования соединителя. Сведения об этой процедуре см. в статье Сбор журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.
• Конкретные инструкции по настройке исходных приложений или устройств, а также ссылки на инструкции на веб-сайтах поставщиков. Эти действия необходимо выполнить независимо от того, используется ли соединитель.

HTTP-сервер Apache

Выполните следующие действия, чтобы принять сообщения журнала из Apache HTTP Server:

1. Имя таблицы: ApacheHTTPServer_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

Apache Tomcat

Выполните следующие действия, чтобы принять сообщения журнала из Apache Tomcat:

1. Имя таблицы: Tomcat_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

Cisco Meraki

Выполните следующие действия, чтобы принять сообщения журнала из Cisco Meraki:

1. Имя таблицы: meraki_CL

2. Расположение хранилища журналов: создайте файл журнала на внешнем сервере системного журнала. Предоставьте управляющей программе системного журнала разрешения на запись в файл. Установите AMA на внешнем сервере системного журнала, если он еще не установлен. Введите это имя файла и путь в поле шаблона файла в соединителе или вместо {LOCAL_PATH_FILE} заполнителя в DCR.

3. Настройте управляющая программа системного журнала для экспорта сообщений журнала Meraki во временный текстовый файл, чтобы AMA могли их собирать.

   rsyslog

   1. Создайте пользовательский файл конфигурации для управляющей программы rsyslog и сохраните его в /etc/rsyslog.d/10-meraki.conf. Добавьте следующие условия фильтрации в этот файл конфигурации:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Замените <LOG_FILE_Name> именем созданного файла журнала.)

      Дополнительные сведения об условиях фильтрации rsyslog см. в разделе rsyslog: фильтрация условий. Мы рекомендуем протестировать и изменить конфигурацию на основе конкретной установки.

   2. Перезапустите rsyslog. Типичным синтаксисом команды является systemctl restart rsyslog.

   syslog-ng

   1. Измените файл /etc/syslog-ng/conf.dконфигурации, добавив следующие условия:

      filter f_meraki {
          message("flows") or message("urls") or message("ids-alerts") or message("events") or message("ip_flow_start") or message("ip_flow_end"); 
      }; 
      
      destination d_meraki { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_meraki); 
          destination(d_meraki); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   2. Перезапустите syslog-ng. Типичным синтаксисом команды является systemctl restart syslog-ng.

4. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   • Замените имя "RawData" столбца именем "Message"столбца.

   • Замените значение transformKql "source" значением "source | project-rename Message=RawData".

   • {TABLE_NAME} {LOCAL_PATH_FILE} Замените заполнители в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

5. Настройте компьютер, на котором установлен агент Azure Monitor, чтобы открыть порты системного журнала и настроить управляющая программа системного журнала там для приема сообщений из внешних источников. Подробные инструкции и скрипт для автоматизации этой конфигурации см. в статье "Настройка средства пересылки журналов для приема журналов".

6. Настройте и подключите устройства Cisco Meraki: следуйте инструкциям, предоставленным Cisco для отправки сообщений системного журнала. Используйте IP-адрес или имя узла виртуальной машины, в которой установлен агент Azure Monitor.

К началу страницы

Платформа корпоративных приложений JBoss

Выполните следующие действия, чтобы принять сообщения журнала из платформы корпоративных приложений JBoss:

1. Имя таблицы: JBossLogs_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию (filePatterns) — только Для Linux:

   • Автономный сервер: "{EAP_HOME}/standalone/log/server.log"
   • Управляемый домен: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

JuniperIDP

Выполните следующие действия, чтобы принять сообщения журнала из JuniperIDP:

1. Имя таблицы: JuniperIDP_CL

2. Расположение хранилища журналов: создайте файл журнала на внешнем сервере системного журнала. Предоставьте управляющей программе системного журнала разрешения на запись в файл. Установите AMA на внешнем сервере системного журнала, если он еще не установлен. Введите это имя файла и путь в поле шаблона файла в соединителе или вместо {LOCAL_PATH_FILE} заполнителя в DCR.

3. Настройте управляющая программа системного журнала для экспорта сообщений журнала JuniperIDP во временный текстовый файл, чтобы AMA могли их собирать.

   rsyslog

   1. Создайте пользовательский файл конфигурации для управляющей программы rsyslog в папке /etc/rsyslog.d/ со следующими условиями фильтрации:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Замените <parameters> фактическими именами представленных объектов. <> LOG_FILE_NAME — это файл, созданный на шаге 2.)

   2. Перезапустите rsyslog. Типичным синтаксисом команды является systemctl restart rsyslog.

   syslog-ng

   1. Измените файл /etc/syslog-ng/conf.dконфигурации, добавив следующие условия:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   2. Перезапустите syslog-ng. Типичным синтаксисом команды является systemctl restart syslog-ng.

4. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   • Замените имя "RawData" столбца именем "Message"столбца.

   • {TABLE_NAME} {LOCAL_PATH_FILE} Замените заполнители в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

   • Замените значение "source" transformKql следующим запросом Kusto (заключено в двойные кавычки):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Настройте компьютер, на котором установлен агент Azure Monitor, чтобы открыть порты системного журнала и настроить управляющая программа системного журнала там для приема сообщений из внешних источников. Подробные инструкции и скрипт для автоматизации этой конфигурации см. в статье "Настройка средства пересылки журналов для приема журналов".

6. Инструкции по настройке устройства поставщика удостоверений Juniper для отправки сообщений системного журнала на внешний сервер см. в статье "Начало работы с SRX — настройка системного ведения журнала".

К началу страницы

Аудит MarkLogic

Выполните следующие действия, чтобы принять сообщения журнала из MarkLogic Audit:

1. Имя таблицы: MarkLogicAudit_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

4. Настройте MarkLogic Audit, чтобы включить запись журналов: (из документации MarkLogic)

   1. С помощью браузера перейдите к интерфейсу MarkLogic Admin.
   2. Откройте экран "Конфигурация аудита" в разделе "Группы > group_name > аудит".
   3. Пометьте переключатель с включенным аудитом. Убедитесь, что Azure Defender включен.
   4. Настройте требуемое событие аудита и (или) ограничения.
   5. Проверьте, нажав кнопку "ОК".
   6. Дополнительные сведения и параметры конфигурации см. в документации По MarkLogic.

К началу страницы

Аудит MongoDB

Выполните следующие действия, чтобы принять сообщения журнала из аудита MongoDB:

1. Имя таблицы: MongoDBAudit_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

4. Настройте MongoDB для записи журналов:

   1. Для Windows измените файл mongod.cfgконфигурации. Для Linux. mongod.conf
   2. Установите для параметра dbpath значение data/db.
   3. Установите для параметра path значение /data/db/auditlog.json.
   4. Дополнительные сведения см. в документации по MongoDB.

К началу страницы

HTTP-сервер NGINX

Выполните следующие действия, чтобы принять сообщения журнала из HTTP-сервера NGINX:

1. Имя таблицы: NGINX_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

Oracle WebLogic Server

Выполните следующие действия, чтобы принять сообщения журнала из Oracle WebLogic Server:

1. Имя таблицы: OracleWebLogicServer_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

События PostgreSQL

Выполните следующие действия, чтобы принять сообщения журнала из событий PostgreSQL:

1. Имя таблицы: PostgreSQL_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

4. Измените файл postgresql.conf конфигурации событий PostgreSQL для вывода журналов в файлы.

   1. Задайте значение log_destination='stderr'.
   2. Задайте значение logging_collector=on.
   3. Дополнительные сведения см. в документации по PostgreSQL.

К началу страницы

Обнаружение угроз SecurityBridge для SAP

Выполните следующие действия, чтобы принять сообщения журнала из службы "Обнаружение угроз SecurityBridge" для SAP:

1. Имя таблицы: SecurityBridgeLogs_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

SquidProxy

Выполните следующие действия, чтобы принять сообщения журнала из SquidProxy:

1. Имя таблицы: SquidProxy_CL

2. Расположение хранилища журналов: журналы хранятся в виде текстовых файлов на хост-компьютере приложения. Установите AMA на том же компьютере, чтобы собрать файлы.

   Расположения файлов по умолчанию ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   Замените заполнители {TABLE_NAME} и {LOCAL_PATH_FILE} в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

К началу страницы

Ubiquiti UniFi

Выполните следующие действия, чтобы принять сообщения журнала из Ubiquiti UniFi:

1. Имя таблицы: Ubiquiti_CL

2. Расположение хранилища журналов: создайте файл журнала на внешнем сервере системного журнала. Предоставьте управляющей программе системного журнала разрешения на запись в файл. Установите AMA на внешнем сервере системного журнала, если он еще не установлен. Введите это имя файла и путь в поле шаблона файла в соединителе или вместо {LOCAL_PATH_FILE} заполнителя в DCR.

3. Настройте управляющая программа системного журнала для экспорта сообщений журнала Ubiquiti во временный текстовый файл, чтобы AMA могли их собирать.

   rsyslog

   1. Создайте пользовательский файл конфигурации для управляющей программы rsyslog в папке /etc/rsyslog.d/ со следующими условиями фильтрации:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Замените <parameters> фактическими именами представленных объектов. <> LOG_FILE_NAME — это файл, созданный на шаге 2.)

   2. Перезапустите rsyslog. Типичным синтаксисом команды является systemctl restart rsyslog.

   syslog-ng

   1. Измените файл /etc/syslog-ng/conf.dконфигурации, добавив следующие условия:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   2. Перезапустите syslog-ng. Типичным синтаксисом команды является systemctl restart syslog-ng.

4. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   • Замените имя "RawData" столбца именем "Message"столбца.

   • Замените значение transformKql "source" значением "source | project-rename Message=RawData".

   • {TABLE_NAME} {LOCAL_PATH_FILE} Замените заполнители в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

5. Настройте компьютер, на котором установлен агент Azure Monitor, чтобы открыть порты системного журнала и настроить управляющая программа системного журнала там для приема сообщений из внешних источников. Подробные инструкции и скрипт для автоматизации этой конфигурации см. в статье "Настройка средства пересылки журналов для приема журналов".

6. Настройте и подключите контроллер Ubiquiti.

   1. Следуйте инструкциям, предоставленным Ubiquiti, чтобы включить системный журнал и при необходимости отладить журналы.
   2. Выберите "Параметры > системных параметров > контроллера конфигурации > удаленного ведения журнала" и включите системный журнал.

К началу страницы

VMware vCenter

Выполните следующие действия, чтобы принять сообщения журнала из VMware vCenter:

1. Имя таблицы: vcenter_CL

2. Расположение хранилища журналов: создайте файл журнала на внешнем сервере системного журнала. Предоставьте управляющей программе системного журнала разрешения на запись в файл. Установите AMA на внешнем сервере системного журнала, если он еще не установлен. Введите это имя файла и путь в поле шаблона файла в соединителе или вместо {LOCAL_PATH_FILE} заполнителя в DCR.

3. Настройте управляющая программа системного журнала для экспорта сообщений журнала vCenter во временный текстовый файл, чтобы AMA могли их собирать.

   rsyslog

   1. Измените файл /etc/rsyslog.conf конфигурации, чтобы добавить следующую строку шаблона перед разделом директивы :

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Создайте пользовательский файл конфигурации для управляющей программы rsyslog, сохраненного в /etc/rsyslog.d/10-vcenter.conf следующих условиях фильтрации:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   3. Перезапустите rsyslog. Типичным синтаксисом команды является sudo systemctl restart rsyslog.

   syslog-ng

   1. Измените файл /etc/syslog-ng/conf.dконфигурации, добавив следующие условия фильтрации:

      filter f_vcenter {
          message("vpxd") or message("vcenter-server"); 
      }; 
      
      destination d_vcenter { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_vcenter); 
          destination(d_vcenter); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   2. Перезапустите syslog-ng. Типичным синтаксисом команды является systemctl restart syslog-ng.

4. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   • Замените имя "RawData" столбца именем "Message"столбца.

   • Замените значение transformKql "source" значением "source | project-rename Message=RawData".

   • {TABLE_NAME} {LOCAL_PATH_FILE} Замените заполнители в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

   • dataCollectionEndpointId должен быть заполнен DCE. Если у вас его нет, определите новый. Инструкции см. в статье "Создание конечной точки сбора данных".

5. Настройте компьютер, на котором установлен агент Azure Monitor, чтобы открыть порты системного журнала и настроить управляющая программа системного журнала там для приема сообщений из внешних источников. Подробные инструкции и скрипт для автоматизации этой конфигурации см. в статье "Настройка средства пересылки журналов для приема журналов".

6. Настройте и подключите устройства vCenter.

   1. Следуйте инструкциям, предоставленным VMware для отправки сообщений системного журнала.
   2. Используйте IP-адрес или имя узла компьютера, на котором установлен агент Azure Monitor.

К началу страницы

Zscaler Private Access (ZPA)

Выполните следующие действия, чтобы получать сообщения журнала из Zscaler Private Access (ZPA):

1. Имя таблицы: ZPA_CL

2. Расположение хранилища журналов: создайте файл журнала на внешнем сервере системного журнала. Предоставьте управляющей программе системного журнала разрешения на запись в файл. Установите AMA на внешнем сервере системного журнала, если он еще не установлен. Введите это имя файла и путь в поле шаблона файла в соединителе или вместо {LOCAL_PATH_FILE} заполнителя в DCR.

3. Настройте управляющая программа системного журнала для экспорта сообщений журнала ZPA во временный текстовый файл, чтобы AMA может собирать их.

   rsyslog

   1. Создайте пользовательский файл конфигурации для управляющей программы rsyslog в папке /etc/rsyslog.d/ со следующими условиями фильтрации:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Замените <parameters> фактическими именами представленных объектов.)

   2. Перезапустите rsyslog. Типичным синтаксисом команды является systemctl restart rsyslog.

   syslog-ng

   1. Измените файл /etc/syslog-ng/conf.dконфигурации, добавив следующие условия:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Замените <LOG_FILE_NAME> именем созданного файла журнала.)

   2. Перезапустите syslog-ng. Типичным синтаксисом команды является systemctl restart syslog-ng.

4. Создайте DCR в соответствии с инструкциями по сбору журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.

   • Замените имя "RawData" столбца именем "Message"столбца.

   • Замените значение transformKql "source" значением "source | project-rename Message=RawData".

   • {TABLE_NAME} {LOCAL_PATH_FILE} Замените заполнители в шаблоне DCR значениями в шагах 1 и 2. Замените другие заполнители, как показано ниже.

5. Настройте компьютер, на котором установлен агент Azure Monitor, чтобы открыть порты системного журнала и настроить управляющая программа системного журнала там для приема сообщений из внешних источников. Подробные инструкции и скрипт для автоматизации этой конфигурации см. в статье "Настройка средства пересылки журналов для приема журналов".

6. Настройте и подключите приемник ZPA.

   1. Следуйте инструкциям, предоставленным ZPA. Выберите JSON в качестве шаблона журнала.
   2. Выберите "Параметры > системных параметров > контроллера конфигурации > удаленного ведения журнала" и включите системный журнал.

К началу страницы

Связанный контент

• Прием сообщений системного журнала и CEF в Microsoft Sentinel с помощью агента Azure Monitor
• Системный журнал с помощью AMA и общего формата событий (CEF) через соединители AMA для Microsoft Sentinel