分享方式:

適用於 Microsoft Sentinel 的 VMware vCenter 連接器

  • 文章

vCenter 連接器可讓您輕鬆地將 vCenter 伺服器記錄與 Microsoft Sentinel 連線。 這可讓您深入瞭解組織的數據中心,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 vcenter_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

依事件類型排序的事件總數

vCenter 

| summarize count() by EventType

登入/註銷 vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

必要條件

若要與 VMware vCenter 整合,請確定您有:

  • 如果連線能力需要包含自訂必要條件 - 否則請刪除自訂:任何自訂必要條件的描述

廠商的安裝指示

注意:此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 VMware vCenter 並載入函式程式代碼,或單擊 這裡,在查詢的第二行輸入 VMware vCenter 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在安裝/更新解決方案之後,此函式通常需要 10-15 分鐘才能啟動。

  1. 如果您尚未從 ContentHub 安裝 vCenter 解決方案,請 依照步驟 使用 Kusto 函式別名 vCenter

  2. 安裝 Linux 代理程式並將其上線

    在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

    Syslog 記錄只會從 Linux 代理程式收集。

  3. 設定要收集的記錄

請遵循下列設定步驟,取得 vCenter 伺服器記錄到 Microsoft Sentinel。 如需這些步驟的詳細資訊,請參閱 Azure 監視器文件。 針對 vCenter Server 記錄,我們在使用預設設定剖析 OMS 代理程式數據時發生問題。 因此,我們建議使用下列指示將記錄擷取至自定義數據表 vcenter_CL

  1. 登入已安裝 OMS 代理程式的伺服器。

  2. 下載組態檔 vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. 將 vcenter.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 編輯 vcenter.conf,如下所示:

    a. vcenter.conf 預設會使用埠 22033 。 請確定此連接埠並未由伺服器上的任何其他來源所使用

    b. 如果您想要變更 vcenter.conf 的預設埠,請確定您未使用預設的 Azure 單向 /log Analytic 代理程式埠,例如 CEF 使用 TCP 連接埠 2522625224

    c. 以工作區標識符的實際值取代 workspace_id (第 13,14,15,18 行)

  5. 使用下列命令儲存變更並重新啟動適用於 Linux 的 Azure Log Analytics 代理程式:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 修改 /etc/rsyslog.conf 檔案 - 最好在開頭 /before 指示詞區段新增下列範本

    $template vcenter,"%timestamp% %hostname% %msg%\ n"

注意 - 上述命令中沒有斜線(\) 和字元 'n' 之間的空格。

  1. 在 /etc/rsyslog.d/ 中建立自定義 conf 檔案,例如 10-vcenter.conf,並新增下列篩選條件。

    下載配置檔 10-vCenter.conf

    使用新增的語句時,您必須建立篩選條件,以指定要轉送至自定義數據表的 vcenter 伺服器記錄。

    參考:篩選條件 — rsyslog 8.18.0.master 文件

    以下是可定義的篩選範例,這並不完整,而且需要針對每個安裝進行額外的測試。

    if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
& stop 
if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
& stop

  2. 重新啟動 rsyslog systemctl restart rsyslog

  3. 設定並連線 vCenter 裝置(s)

請遵循這些指示 ,將 vCenter 設定為轉送 syslog。 使用 Linux 裝置的 IP 位址或主機名稱,並將 Linux 代理程式安裝為目的地 IP 位址。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案