Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program

Microsoft Sentinels anpassade loggar via AMA-dataanslutningen stöder insamling av loggar från textfiler från flera olika nätverk och säkerhetsprogram och enheter.

Den här artikeln innehåller konfigurationsinformationen, som är unik för varje specifikt säkerhetsprogram, som du behöver ange när du konfigurerar den här dataanslutningen. Den här informationen tillhandahålls av programleverantörerna. Kontakta leverantören för uppdateringar, mer information eller när information inte är tillgänglig för ditt säkerhetsprogram. Fullständiga instruktioner för att installera och konfigurera anslutningsappen finns i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel, men gå tillbaka till den här artikeln för den unika information som ska anges för varje program.

Den här artikeln visar också hur du matar in data från dessa program till din Microsoft Sentinel-arbetsyta utan att använda anslutningsappen. De här stegen omfattar installation av Azure Monitor-agenten. När anslutningsappen har installerats använder du de instruktioner som är lämpliga för ditt program, som visas senare i den här artikeln, för att slutföra installationen.

De enheter som du samlar in anpassade textloggar från finns i två kategorier:

• Program installerade på Windows- eller Linux-datorer

  Programmet lagrar sina loggfiler på den dator där det är installerat. För att samla in dessa loggar installeras Azure Monitor-agenten på samma dator.

• Enheter som är fristående på stängda (vanligtvis Linux-baserade) enheter

  Dessa enheter lagrar sina loggar på en extern syslog-server. För att samla in dessa loggar installeras Azure Monitor Agentis på den här externa syslog-servern, som ofta kallas loggvidare.

Mer information om den relaterade Microsoft Sentinel-lösningen för vart och ett av dessa program finns i Azure Marketplace efter produkttypslösningsmallar> eller granskar lösningen från innehållshubben i Microsoft Sentinel.

Viktigt!

• Anpassade loggar via AMA-dataanslutningsappen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

• Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Allmänna instruktioner

Stegen för att samla in loggar från datorer som är värdar för program och installationer följer ett allmänt mönster:

1. Skapa måltabellen i Log Analytics (eller Avancerad jakt om du är i Defender-portalen).

2. Skapa datainsamlingsregeln (DCR) för ditt program eller din installation.

3. Distribuera Azure Monitor-agenten till den dator som är värd för programmet eller till den externa servern (loggvidare) som samlar in loggar från installationer om den inte redan har distribuerats.

4. Konfigurera loggning av ditt program. Om en installation konfigurerar du den så att den skickar loggarna till den externa servern (loggvidare) där Azure Monitor-agenten är installerad.

De här allmänna stegen (förutom den sista) automatiseras när du använder anpassade loggar via AMA-dataanslutningen och beskrivs i detalj i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

Specifika instruktioner per programtyp

Informationen per program som du behöver för att slutföra de här stegen visas i resten av den här artikeln. Vissa av dessa program finns på fristående installationer och kräver en annan typ av konfiguration, från och med användningen av en loggvidare.

Varje programavsnitt innehåller följande information:

• Unika parametrar som ska anges i konfigurationen av anpassade loggar via AMA-dataanslutningen , om du använder den.
• Beskrivningen av den procedur som krävs för att mata in data manuellt, utan att använda anslutningsappen. Mer information om den här proceduren finns i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.
• Specifika instruktioner för att konfigurera själva de ursprungliga programmen eller enheterna och/eller länkar till instruktionerna på leverantörernas webbplatser. Dessa steg måste vidtas oavsett om du använder anslutningsappen eller inte.

Apache HTTP Server

Följ dessa steg för att mata in loggmeddelanden från Apache HTTP Server:

1. Tabellnamn: ApacheHTTPServer_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

Apache Tomcat

Följ dessa steg för att mata in loggmeddelanden från Apache Tomcat:

1. Tabellnamn: Tomcat_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

Cisco Meraki

Följ dessa steg för att mata in loggmeddelanden från Cisco Meraki:

1. Tabellnamn: meraki_CL

2. Logglagringsplats: Skapa en loggfil på den externa syslog-servern. Ge filen behörighet att skriva syslog-daemon. Installera AMA på den externa syslog-servern om den inte redan är installerad. Ange det här filnamnet och sökvägen i fältet Filmönster i anslutningsappen eller i stället för {LOCAL_PATH_FILE} platshållaren i DCR.

3. Konfigurera syslog-daemon att exportera sina Meraki-loggmeddelanden till en tillfällig textfil så att AMA kan samla in dem.

   rsyslog

   1. Skapa en anpassad konfigurationsfil för daemonen rsyslog och spara den i /etc/rsyslog.d/10-meraki.conf. Lägg till följande filtreringsvillkor i den här konfigurationsfilen:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (Ersätt <LOG_FILE_Name> med namnet på loggfilen som du skapade.)

      Mer information om filtreringsvillkor för rsyslog finns i rsyslog: Filtervillkor. Vi rekommenderar att du testar och ändrar konfigurationen baserat på din specifika installation.

   2. Starta om rsyslog. Den typiska kommandosyntaxen är systemctl restart rsyslog.

   syslog-ng

   1. Redigera konfigurationsfilen /etc/syslog-ng/conf.doch lägg till följande villkor:

      filter f_meraki {
          message("flows") or message("urls") or message("ids-alerts") or message("events") or message("ip_flow_start") or message("ip_flow_end"); 
      }; 
      
      destination d_meraki { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_meraki); 
          destination(d_meraki); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   2. Starta om syslog-ng. Den typiska kommandosyntaxen är systemctl restart syslog-ng.

4. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   • Ersätt kolumnnamnet "RawData" med kolumnnamnet "Message".

   • Ersätt transformKql-värdet "source" med värdet "source | project-rename Message=RawData".

   • {TABLE_NAME} Ersätt platshållarna och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

5. Konfigurera datorn där Azure Monitor-agenten är installerad för att öppna syslog-portarna och konfigurera syslog-daemonen där för att acceptera meddelanden från externa källor. Detaljerade instruktioner och ett skript för att automatisera den här konfigurationen finns i Konfigurera loggvidare för att acceptera loggar.

6. Konfigurera och ansluta Cisco Meraki-enheter: följ instruktionerna från Cisco för att skicka syslog-meddelanden. Använd IP-adressen eller värdnamnet för den virtuella dator där Azure Monitor-agenten är installerad.

Tillbaka till början

JBoss Enterprise Application Platform

Följ dessa steg för att mata in loggmeddelanden från JBoss Enterprise Application Platform:

1. Tabellnamn: JBossLogs_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns") – Endast Linux:

   • Fristående server: "{EAP_HOME}/standalone/log/server.log"
   • Hanterad domän: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

JuniperIDP

Följ dessa steg för att mata in loggmeddelanden från JuniperIDP:

1. Tabellnamn: JuniperIDP_CL

2. Logglagringsplats: Skapa en loggfil på den externa syslog-servern. Ge filen behörighet att skriva syslog-daemon. Installera AMA på den externa syslog-servern om den inte redan är installerad. Ange det här filnamnet och sökvägen i fältet Filmönster i anslutningsappen eller i stället för {LOCAL_PATH_FILE} platshållaren i DCR.

3. Konfigurera syslog-daemon för att exportera juniperIDP-loggmeddelanden till en tillfällig textfil så att AMA kan samla in dem.

   rsyslog

   1. Skapa en anpassad konfigurationsfil för rsyslog daemon i /etc/rsyslog.d/ mappen med följande filtreringsvillkor:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersätt <parameters> med de faktiska namnen på de objekt som representeras. <> LOG_FILE_NAME är filen som du skapade i steg 2.)

   2. Starta om rsyslog. Den typiska kommandosyntaxen är systemctl restart rsyslog.

   syslog-ng

   1. Redigera konfigurationsfilen /etc/syslog-ng/conf.doch lägg till följande villkor:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   2. Starta om syslog-ng. Den typiska kommandosyntaxen är systemctl restart syslog-ng.

4. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   • Ersätt kolumnnamnet "RawData" med kolumnnamnet "Message".

   • {TABLE_NAME} Ersätt platshållarna och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

   • Ersätt transformKql-värdet "source" med följande Kusto-fråga (omgiven med dubbla citattecken):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Konfigurera datorn där Azure Monitor-agenten är installerad för att öppna syslog-portarna och konfigurera syslog-daemonen där för att acceptera meddelanden från externa källor. Detaljerade instruktioner och ett skript för att automatisera den här konfigurationen finns i Konfigurera loggvidare för att acceptera loggar.

6. Anvisningar för hur du konfigurerar Juniper IDP-installationen för att skicka syslog-meddelanden till en extern server finns i SRX-Komma igång – Konfigurera systemloggning..

Tillbaka till början

MarkLogic-granskning

Följ dessa steg för att mata in loggmeddelanden från MarkLogic Audit:

1. Tabellnamn: MarkLogicAudit_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

4. Konfigurera MarkLogic-granskning så att den kan skriva loggar: (från MarkLogic-dokumentationen)

   1. Navigera till MarkLogic Admin-gränssnittet med hjälp av webbläsaren.
   2. Öppna skärmen Granskningskonfiguration under Grupper > group_name > Granskning.
   3. Markera alternativknappen Granskningsaktiverad. Se till att det är aktiverat.
   4. Konfigurera granskningshändelse och/eller önskade begränsningar.
   5. Verifiera genom att välja OK.
   6. Mer information och konfigurationsalternativ finns i MarkLogic-dokumentationen.

Tillbaka till början

MongoDB-granskning

Följ dessa steg för att mata in loggmeddelanden från MongoDB-granskning:

1. Tabellnamn: MongoDBAudit_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

4. Konfigurera MongoDB för att skriva loggar:

   1. För Windows redigerar du konfigurationsfilen mongod.cfg. För Linux, mongod.conf.
   2. Ange parametern dbpath till data/db.
   3. Ange parametern path till /data/db/auditlog.json.
   4. Mer parametrar och information finns i MongoDB-dokumentationen.

Tillbaka till början

NGINX HTTP-server

Följ dessa steg för att mata in loggmeddelanden från NGINX HTTP Server:

1. Tabellnamn: NGINX_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

Oracle WebLogic Server

Följ dessa steg för att mata in loggmeddelanden från Oracle WebLogic Server:

1. Tabellnamn: OracleWebLogicServer_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

PostgreSQL-händelser

Följ dessa steg för att mata in loggmeddelanden från PostgreSQL-händelser:

1. Tabellnamn: PostgreSQL_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

4. Redigera postgreSQL-händelsekonfigurationsfilen postgresql.conf för utdataloggar till filer.

   1. Ställa log_destination='stderr'
   2. Ställa logging_collector=on
   3. Mer parametrar och information finns i PostgreSQL-dokumentationen.

Tillbaka till början

SecurityBridge Hotidentifiering för SAP

Följ dessa steg för att mata in loggmeddelanden från SecurityBridge Threat Detection för SAP:

1. Tabellnamn: SecurityBridgeLogs_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

SquidProxy

Följ dessa steg för att mata in loggmeddelanden från SquidProxy:

1. Tabellnamn: SquidProxy_CL

2. Logglagringsplats: Loggar lagras som textfiler på programmets värddator. Installera AMA på samma dator för att samla in filerna.

   Standardfilplatser ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   Ersätt platshållarna {TABLE_NAME} och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

Tillbaka till början

Ubiquiti UniFi

Följ dessa steg för att mata in loggmeddelanden från Ubiquiti UniFi:

1. Tabellnamn: Ubiquiti_CL

2. Logglagringsplats: Skapa en loggfil på den externa syslog-servern. Ge filen behörighet att skriva syslog-daemon. Installera AMA på den externa syslog-servern om den inte redan är installerad. Ange det här filnamnet och sökvägen i fältet Filmönster i anslutningsappen eller i stället för {LOCAL_PATH_FILE} platshållaren i DCR.

3. Konfigurera syslog-daemon att exportera sina Ubiquiti-loggmeddelanden till en tillfällig textfil så att AMA kan samla in dem.

   rsyslog

   1. Skapa en anpassad konfigurationsfil för rsyslog daemon i /etc/rsyslog.d/ mappen med följande filtreringsvillkor:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersätt <parameters> med de faktiska namnen på de objekt som representeras. <> LOG_FILE_NAME är filen som du skapade i steg 2.)

   2. Starta om rsyslog. Den typiska kommandosyntaxen är systemctl restart rsyslog.

   syslog-ng

   1. Redigera konfigurationsfilen /etc/syslog-ng/conf.doch lägg till följande villkor:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   2. Starta om syslog-ng. Den typiska kommandosyntaxen är systemctl restart syslog-ng.

4. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   • Ersätt kolumnnamnet "RawData" med kolumnnamnet "Message".

   • Ersätt transformKql-värdet "source" med värdet "source | project-rename Message=RawData".

   • {TABLE_NAME} Ersätt platshållarna och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

5. Konfigurera datorn där Azure Monitor-agenten är installerad för att öppna syslog-portarna och konfigurera syslog-daemonen där för att acceptera meddelanden från externa källor. Detaljerade instruktioner och ett skript för att automatisera den här konfigurationen finns i Konfigurera loggvidare för att acceptera loggar.

6. Konfigurera och ansluta Ubiquiti-styrenheten.

   1. Följ anvisningarna från Ubiquiti för att aktivera syslog och eventuellt felsöka loggar.
   2. Välj Inställningar > Systeminställningar > Styrenhet Konfiguration > Fjärrloggning och aktivera syslog.

Tillbaka till början

VMware vCenter

Följ dessa steg för att mata in loggmeddelanden från VMware vCenter:

1. Tabellnamn: vcenter_CL

2. Logglagringsplats: Skapa en loggfil på den externa syslog-servern. Ge filen behörighet att skriva syslog-daemon. Installera AMA på den externa syslog-servern om den inte redan är installerad. Ange det här filnamnet och sökvägen i fältet Filmönster i anslutningsappen eller i stället för {LOCAL_PATH_FILE} platshållaren i DCR.

3. Konfigurera syslog-daemon att exportera sina vCenter-loggmeddelanden till en tillfällig textfil så att AMA kan samla in dem.

   rsyslog

   1. Redigera konfigurationsfilen /etc/rsyslog.conf för att lägga till följande mallrad före direktivavsnittet:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Skapa en anpassad konfigurationsfil för daemonen rsyslog, sparad som /etc/rsyslog.d/10-vcenter.conf med följande filtreringsvillkor:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   3. Starta om rsyslog. Den typiska kommandosyntaxen är sudo systemctl restart rsyslog.

   syslog-ng

   1. Redigera konfigurationsfilen /etc/syslog-ng/conf.doch lägg till följande filtreringsvillkor:

      filter f_vcenter {
          message("vpxd") or message("vcenter-server"); 
      }; 
      
      destination d_vcenter { 
          file("<LOG_FILE_NAME>"); 
      }; 
      
      log { 
          source(s_src); 
          filter(f_vcenter); 
          destination(d_vcenter); 
          flags(final); #Ensures that once a message matches the filter and is written to the specified destination, it will not be processed by subsequent log statements 
      }; 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   2. Starta om syslog-ng. Den typiska kommandosyntaxen är systemctl restart syslog-ng.

4. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   • Ersätt kolumnnamnet "RawData" med kolumnnamnet "Message".

   • Ersätt transformKql-värdet "source" med värdet "source | project-rename Message=RawData".

   • {TABLE_NAME} Ersätt platshållarna och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

   • dataCollectionEndpointId ska fyllas i med din DCE. Om du inte har någon definierar du en ny. Se Skapa en datainsamlingsslutpunkt för anvisningarna.

5. Konfigurera datorn där Azure Monitor-agenten är installerad för att öppna syslog-portarna och konfigurera syslog-daemonen där för att acceptera meddelanden från externa källor. Detaljerade instruktioner och ett skript för att automatisera den här konfigurationen finns i Konfigurera loggvidare för att acceptera loggar.

6. Konfigurera och ansluta vCenter-enheterna.

   1. Följ anvisningarna från VMware för att skicka syslog-meddelanden.
   2. Använd IP-adressen eller värdnamnet för den dator där Azure Monitor-agenten är installerad.

Tillbaka till början

Zscaler Private Access (ZPA)

Följ dessa steg för att mata in loggmeddelanden från Zscaler Private Access (ZPA):

1. Tabellnamn: ZPA_CL

2. Logglagringsplats: Skapa en loggfil på den externa syslog-servern. Ge filen behörighet att skriva syslog-daemon. Installera AMA på den externa syslog-servern om den inte redan är installerad. Ange det här filnamnet och sökvägen i fältet Filmönster i anslutningsappen eller i stället för {LOCAL_PATH_FILE} platshållaren i DCR.

3. Konfigurera syslog-daemon så att dess ZPA-loggmeddelanden exporteras till en tillfällig textfil så att AMA kan samla in dem.

   rsyslog

   1. Skapa en anpassad konfigurationsfil för rsyslog daemon i /etc/rsyslog.d/ mappen med följande filtreringsvillkor:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Ersätt <parameters> med de faktiska namnen på de objekt som representeras.)

   2. Starta om rsyslog. Den typiska kommandosyntaxen är systemctl restart rsyslog.

   syslog-ng

   1. Redigera konfigurationsfilen /etc/syslog-ng/conf.doch lägg till följande villkor:

      source s_network {
          network ( 
              ip(“0.0.0.0”) 
              port(<PORT>) 
          ); 
      }; 
      destination d_file { 
          file(“<LOG_FILE_NAME>”); 
      }; 
      log { 
          source(s_network); 
          destination(d_file); 
      }; 
      

      (Ersätt <LOG_FILE_NAME> med namnet på loggfilen som du skapade.)

   2. Starta om syslog-ng. Den typiska kommandosyntaxen är systemctl restart syslog-ng.

4. Skapa DCR enligt anvisningarna i Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel.

   • Ersätt kolumnnamnet "RawData" med kolumnnamnet "Message".

   • Ersätt transformKql-värdet "source" med värdet "source | project-rename Message=RawData".

   • {TABLE_NAME} Ersätt platshållarna och {LOCAL_PATH_FILE} i DCR-mallen med värdena i steg 1 och 2. Ersätt de andra platshållarna enligt anvisningarna.

5. Konfigurera datorn där Azure Monitor-agenten är installerad för att öppna syslog-portarna och konfigurera syslog-daemonen där för att acceptera meddelanden från externa källor. Detaljerade instruktioner och ett skript för att automatisera den här konfigurationen finns i Konfigurera loggvidare för att acceptera loggar.

6. Konfigurera och ansluta ZPA-mottagaren.

   1. Följ anvisningarna från ZPA. Välj JSON som loggmall.
   2. Välj Inställningar > Systeminställningar > Styrenhet Konfiguration > Fjärrloggning och aktivera syslog.

Tillbaka till början

Relaterat innehåll

• Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten
• Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel