適用於 Microsoft Sentinel 的 VMware vCenter 連接器

  • 發行項

vCenter 連接器可讓您輕鬆地將 vCenter 伺服器記錄與 Microsoft Sentinel 連線。 這可讓您深入瞭解組織的數據中心,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) vCenter_CL
數據收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

依事件類型排序的事件總數

vCenter 

| summarize count() by EventType

登入/註銷 vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

廠商安裝指示

注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 VMware vCenter 並載入函式程式代碼,或單擊 這裡,在查詢的第二行輸入 VMware vCenter 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。

  1. 如果您尚未從 ContentHub 安裝 vCenter 解決方案,請 依照步驟 使用 Kusto 函式別名 vCenter
  1. 安裝並上線適用於Linux的代理程式

在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

Syslog 記錄只會從 Linux 代理程式收集。

  1. 設定要收集的記錄

請遵循下列設定步驟,取得 vCenter 伺服器記錄到 Microsoft Sentinel。 如需這些步驟的詳細資訊, 請參閱 Azure 監視器檔 。 針對 vCenter Server 記錄,我們在使用預設設定剖析 OMS 代理程式數據時發生問題。 因此,建議您使用下列指示,將記錄擷取至自定義數據表 vCenter_CL

  1. 登入已安裝 OMS 代理程式的伺服器。

  2. 下載組態檔 vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. 將 vcenter.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 編輯 vcenter.conf,如下所示:

    a. vcenter.conf 預設會使用埠 22033 。 請確定伺服器上任何其他來源未使用此埠

    b. 如果您想要變更 vcenter.conf 的預設埠,請確定您未使用預設的 Azure 單向 /log Analytic 代理程式埠,例如 CEF 使用 TCP 連接埠 2522625224

    c. 以工作區標識符的實際值取代 workspace_id (第 13,14,15,18 行)

  5. 使用下列命令儲存變更並重新啟動適用於Linux的 Azure Log Analytics 代理程式服務:sudo /opt/microsoft/omsagent/bin/service_control重新啟動

  6. 修改 /etc/rsyslog.conf 檔案 - 最好在開頭 /before 指示詞區段$template vcenter,“%timestamp% %hostname% %msg%\n” 的範本下方新增

  7. 在 /etc/rsyslog.d/ 中建立自定義 conf 檔案,例如 10-vcenter.conf,並新增下列篩選條件。

    使用新增的語句時,您必須建立篩選條件,以指定要轉送至自定義數據表的 vcenter 伺服器記錄。

    參考: 篩選條件 - rsyslog 8.18.0.master 檔

    以下是可定義的篩選範例,這並不完整,而且需要針對每個安裝進行額外的測試。 如果$rawmsg包含 “vcenter-server”,則 @@127.0.0.1:22033;vcenter & stop if $rawmsg contains “vpxd” then @@127.0.0.1:22033;vcenter & stop

  8. 重新啟動 rsyslog systemctl restart rsyslog

  9. 設定並連線 vCenter 裝置(s)

請遵循這些指示 ,將 vCenter 設定為轉送 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為目的地 IP 位址。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案