共用方式為

[已淘汰]Microsoft Sentinel 的 VMware vCenter 連接器

  • 發行項

重要

許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器

vCenter 連接器可讓您輕鬆地將 vCenter Server 記錄與 Microsoft Sentinel 連線。 這可讓您深入了解組織的資料中心,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 vcenter_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

依事件類型的事件總數

vCenter 

| summarize count() by EventType

登入/登出 vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

必要條件

若要與 [已淘汰] VMware vCenter 整合,請確定您有:

  • 如果連線能力需要包含自訂必要條件 - 否則請刪除自訂:任何自訂必要條件的描述

廠商安裝指示

注意:此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式碼,請開啟 [Log Analytics/Microsoft Sentinel Logs] 刀鋒視窗,按一下 [函式],然後搜尋別名 VMware vCenter 並載入函式程式碼,或按一下這裡,在查詢的第二行輸入 VMware vCenter 裝置的主機名稱,以及記錄資料流程的任何其他唯一識別碼。 在安裝/更新解決方案之後,此函式通常需要 10-15 分鐘才能啟動。

  1. 如果您尚未從 ContentHub 安裝 vCenter 解決方案,請遵循步驟以使用 Kusto 函式別名,vCenter
  1. 安裝 Linux 代理程式並將其上線

在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

Syslog 記錄只會從 Linux 代理程式收集。

  1. 設定要收集的記錄

請遵循下列設定步驟,將 vCenter Server 記錄擷取至 Microsoft Sentinel。 如需這些步驟的詳細資訊,請參閱 Azure 監視器文件。 對於 vCenter Server 記錄,我們在使用預設設定剖析 OMS 代理程式資料時發生問題。 因此,建議您使用下列指示,將記錄擷取至自訂資料表 vcenter_CL

  1. 登入已安裝 OMS 代理程式的伺服器。

  2. 下載組態檔 vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. 將 vcenter.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 編輯 vcenter.conf,如下所示:

    a. vcenter.conf 預設使用連接埠 22033。 請確定此連接埠並未由伺服器上的任何其他來源所使用

    b. 如果您想要變更 vcenter.conf 的預設連接埠,請確定您未使用預設 Azure 監視/Log Analytic 代理程式連接埠 (例如 CEF 使用 TCP 連接埠 2522625224)

    c. 將 workspace_id 取代為工作區識別碼的實際值 (第 13、14、15、18 行)

  5. 使用下列命令儲存變更並重新啟動適用於 Linux 的 Azure Log Analytics 代理程式:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 修改 /etc/rsyslog.conf 檔案 - 最好在開頭 / 指示詞區段之前新增下列範本

     $template vcenter,"%timestamp% %hostname% %msg%\ n"

注意 - 上述命令中沒有斜線 (\) 與字元 'n' 之間的空格。

  1. 在 /etc/rsyslog.d/ 中建立自訂組態檔,例如 10-vcenter.conf 並新增下列篩選條件。

下載組態檔 10-vCenter.conf

 With an added statement you will need to create a filter which will specify the logs coming from the vcenter server to be forwarded to the custom table.

 reference: [Filter Conditions — rsyslog 8.18.0.master documentation](https://rsyslog.readthedocs.io/en/latest/configuration/filters.html)

 Here is an example of filtering that can be defined, this is not complete and will require additional testing for each installation.
	 if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter
	 & stop 
	 if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter
	 & stop

  1. 重新啟動 rsyslog systemctl restart rsyslog

  2. 設定並連線到 vCenter 裝置

請依照下列指示將 vCenter 設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名稱,並將 Linux 代理程式安裝為目的地 IP 位址。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。