適用於 Microsoft Sentinel 的 Citrix ADC (前 NetScaler) 連接器

  • 發行項

Citrix ADC (前 NetScaler) 資料連接器提供將 Citrix ADC 記錄內嵌至 Microsoft Sentinel 的功能。 如果您想要將 Citrix WAF 記錄內嵌至 Microsoft Sentinel,請參閱本

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) Syslog
數據收集規則支援 工作區轉換 DCR
支援者: Microsoft Corporation

查詢範例

前10個事件類型

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

廠商安裝指示

注意

  1. 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 CitrixADCEvent 並載入函式程式代碼,或單擊 這裡,此函式會將 Citrix ADC (前 NetScaler) 事件對應至進階安全性資訊模型 ASIM。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
  2. 此剖析器需要名為的監看清單 Sources_by_SourceType

i. 如果您尚未建立關注清單,請按兩下 這裡 以建立。

ii. 開啟監看清單 Sources_by_SourceType ,並新增此數據源的專案。

iii. CitrixADC 的 SourceType 值是 CitrixADC

如需詳細資訊,請參閱 這份

  1. 安裝並上線適用於Linux的代理程式

在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

Syslog 記錄只會從 Linux 代理程式收集。

  1. 設定要收集的記錄

設定您要收集的目標設施及其嚴重性。

  1. 在工作區進階設定 [組態] 下,選取 [數據],然後選取 [Syslog]。

  2. 選取 [將下列設定套用至我的機器 ],然後選取設施與嚴重性。

  3. 按一下 [檔案] 。

  4. 設定 Citrix ADC 透過 Syslog 轉送記錄

3.1 瀏覽至 [設定] > 索引標籤 [系統>稽核 > Syslog 伺服器] 索引標籤>

3.2 指定 Syslog 動作名稱

3.3 設定遠端 Syslog 伺服器和埠的 IP 位址。

3.4 根據您的遠端 Syslog 伺服器組態,將傳輸類型設定TCPUDP

3.5 如需詳細資訊,請參閱 Citrix ADC(前 NetScaler)

  1. 檢查 Microsoft Sentinel 中的記錄

開啟 Log Analytics 以檢查是否使用 Syslog 架構接收記錄。

注意: 可能需要 15 分鐘的時間,新的記錄才會出現在 Syslog 數據表中。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案