共用方式為


透過 AMA 資料連接器的自訂記錄 - 設定從特定應用程式將資料擷取至 Microsoft Sentinel

Microsoft Sentinel 的 自訂記錄透過 AMA 資料連接器支援從數個不同的網路和安全性應用程式和裝置的文本檔收集記錄。

本文提供每個特定安全性應用程式唯一的組態資訊,您必須在設定此資料連接器時提供此資訊。 此資訊是由應用程式提供者所提供。 如需詳細資訊,請連絡提供者以取得更新,或當安全性應用程式無法使用資訊時。 如需安裝和設定連接器的完整指示,請參閱 使用 Azure 監視器代理程式從文本檔收集記錄,並內嵌至 Microsoft Sentinel,但請參閱本文以取得每個應用程式提供的唯一資訊。

本文也會說明如何在不使用連接器的情況下,將這些應用程式中的數據內嵌至Microsoft Sentinel 工作區。 這些步驟包括安裝 Azure 監視器代理程式。 安裝連接器之後,請使用適合您應用程式的指示,如本文稍後所示,以完成設定。

您收集自訂文字記錄的裝置分為兩個類別:

  • 安裝在 Windows 或 Linux 機器上的應用程式

    應用程式會將其記錄檔儲存在安裝所在的電腦上。 若要收集這些記錄,Azure 監視器代理程式會安裝在同一部計算機上。

  • 在封閉式裝置上獨立的設備(通常是以Linux為基礎) 裝置

    這些設備會將記錄儲存在外部 syslog 伺服器上。 為了收集這些記錄,安裝在此外部 syslog 伺服器上的 Azure 監視器代理程式,通常稱為記錄轉寄站。

如需這些應用程式相關Microsoft Sentinel 解決方案的詳細資訊,請在 Azure Marketplace 中搜尋產品類型>解決方案範本或從 Microsoft Sentinel 的內容中樞檢閱解決方案。

重要

  • 透過 AMA 資料連接器的自訂記錄目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

  • Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

一般指示

從載入應用程式和裝置的電腦收集記錄的步驟遵循一般模式:

  1. 請在 Log Analytics 中建立目的地資料表 (如果您是在 Defender 入口網站,則在進階搜捕中建立)。

  2. 為您的應用程式或設備建立資料收集規則 (DCR)。

  3. 將 Azure 監視器代理程式部署到裝載應用程式的機器,或尚未部署時從設備收集記錄的外部伺服器(記錄轉寄站)。

  4. 在您的應用程式上設定記錄。 如果設備,請將它設定為將其記錄傳送至安裝 Azure 監視器代理程式的外部伺服器(記錄轉寄站)。

當您透過 AMA 資料連接器使用自訂記錄時,這些一般步驟(除了最後一個步驟除外),並在使用 Azure 監視器代理程式從文本檔收集記錄並內嵌至 sentinel Microsoft中詳細說明。

每個應用程式類型的特定指示

本文其餘部分會說明完成這些步驟所需的個別應用程式資訊。 其中有些應用程式位於獨立式應用裝置上,而且需要不同類型的設定,從使用記錄轉寄站開始。

每個應用程式區段都包含下列資訊:

  • 如果您使用自定義記錄,則為透過 AMA 資料連接器提供自訂記錄組態的唯一參數。
  • 手動擷取數據所需的程式大綱,而不需使用連接器。 如需此程式的詳細數據,請參閱 使用 Azure 監視器代理程式從文本檔收集記錄,並擷取至 Microsoft Sentinel
  • 設定原始應用程式或裝置本身的特定指示,以及/或提供者網站上指示的連結。 不論是否使用連接器,都必須採取這些步驟。

Apache HTTP Server

請遵循下列步驟,從 Apache HTTP Server 擷取記錄訊息:

  1. 資料表名稱: ApacheHTTPServer_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"C:\Server\bin\log\Apache24\logs\*.log"
    • Linux:"/var/log/httpd/*.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

Apache Tomcat

請遵循下列步驟,從 Apache Tomcat 擷取記錄訊息:

  1. 資料表名稱: Tomcat_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Linux:"/var/log/tomcat/*.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

Cisco Meraki

請遵循下列步驟從 Cisco Meraki 擷取記錄訊息:

  1. 資料表名稱: meraki_CL

  2. 記錄儲存位置:在您的外部 syslog 伺服器上建立記錄檔。 將 syslog 精靈寫入許可權授與檔案。 如果尚未安裝 AMA,請在外部 syslog 伺服器上安裝 AMA。 在連接器的 [檔案模式 ] 字段中輸入此檔名和路徑,或取代 {LOCAL_PATH_FILE} DCR 中的佔位元。

  3. 設定 syslog 精靈將其 Meraki 記錄訊息匯出至暫存文字檔,讓 AMA 可以收集它們。

    1. 建立 rsyslog 精靈的自訂組態檔,並將它儲存至 /etc/rsyslog.d/10-meraki.conf。 將下列篩選條件新增至此組態檔:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (將 取代 <LOG_FILE_Name> 為您建立的記錄檔名稱。

      若要深入瞭解 rsyslog 的篩選條件,請參閱 rsyslog:篩選條件。 建議您根據特定的安裝來測試及修改組態。

    2. 重新啟動 rsyslog。 典型的命令語法為 systemctl restart rsyslog

  4. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    • 將資料列名稱 "RawData" 取代為資料列名稱 "Message"

    • 將 transformKql 值 "source" 取代為 值 "source | project-rename Message=RawData"

    • {TABLE_NAME}將 DCR 範本中的 和佔位元取代為步驟 1 和 {LOCAL_PATH_FILE} 2 中的值。 將其他佔位元取代為指示。

  5. 設定安裝 Azure 監視器代理程式的電腦以開啟 syslog 埠,並設定該處的 syslog 精靈以接受來自外部來源的訊息。 如需將此設定自動化的詳細指示和腳本,請參閱 設定記錄轉寄站以接受記錄

  6. 設定並連線 Cisco Meraki 裝置:遵循 Cisco 提供的指示來傳送 syslog 訊息。 使用安裝 Azure 監視器代理程式的虛擬機 IP 位址或主機名。

回到頁首

JBoss Enterprise Application Platform

請遵循下列步驟,從 JBoss 企業應用程式平臺內嵌記錄訊息:

  1. 資料表名稱: JBossLogs_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    預設檔案位置 (“filePatterns”) - 僅限 Linux:

    • 獨立伺服器: "{EAP_HOME}/standalone/log/server.log"
    • 受控網域: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

JuniperIDP

請遵循下列步驟從 JuniperIDP 擷取記錄訊息:

  1. 資料表名稱: JuniperIDP_CL

  2. 記錄儲存位置:在您的外部 syslog 伺服器上建立記錄檔。 將 syslog 精靈寫入許可權授與檔案。 如果尚未安裝 AMA,請在外部 syslog 伺服器上安裝 AMA。 在連接器的 [檔案模式 ] 字段中輸入此檔名和路徑,或取代 {LOCAL_PATH_FILE} DCR 中的佔位元。

  3. 設定 syslog 精靈將其 JuniperIDP 記錄訊息匯出至暫存文字檔,讓 AMA 可以收集它們。

    1. 在資料夾中建立 rsyslog 精靈的自訂組態檔, /etc/rsyslog.d/ 並具有下列篩選條件:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (將 取代<parameters>為所表示物件的實際名稱。 <>LOG_FILE_NAME是您在步驟 2 中建立的檔案。

    2. 重新啟動 rsyslog。 典型的命令語法為 systemctl restart rsyslog

  4. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    • 將資料列名稱 "RawData" 取代為資料列名稱 "Message"

    • {TABLE_NAME}將 DCR 範本中的 和佔位元取代為步驟 1 和 {LOCAL_PATH_FILE} 2 中的值。 將其他佔位元取代為指示。

    • 以下列 Kusto 查詢取代 transformKql 值 "source" (以雙引弧括住):

      source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
      
  5. 設定安裝 Azure 監視器代理程式的電腦以開啟 syslog 埠,並設定該處的 syslog 精靈以接受來自外部來源的訊息。 如需將此設定自動化的詳細指示和腳本,請參閱 設定記錄轉寄站以接受記錄

  6. 如需將 Juniper IDP 裝置設定為將 syslog 訊息傳送至外部伺服器的指示,請參閱 SRX 用戶入門 - 設定系統記錄。

回到頁首

MarkLogic 稽核

請遵循下列步驟,從 MarkLogic Audit 擷取記錄訊息:

  1. 資料表名稱: MarkLogicAudit_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
    • Linux:"/var/opt/MarkLogic/Logs/AuditLog.txt"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

  4. 設定 MarkLogic Audit 以讓它寫入記錄檔:(來自 MarkLogic 檔)

    1. 使用瀏覽器,流覽至 MarkLogic 系統管理介面。
    2. 開啟 [群組 > group_name稽核] 底 > 下的 [稽核組態] 畫面。
    3. 標示 [已啟用稽核] 單選按鈕。 請確定該項目已啟用。
    4. 設定所需的稽核事件和/或限制。
    5. 選取 [確定] 以驗證。
    6. 如需詳細資訊和組態選項,請參閱 MarkLogic 檔

回到頁首

MongoDB 稽核

請遵循下列步驟,從 MongoDB 稽核擷取記錄訊息:

  1. 資料表名稱: MongoDBAudit_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"C:\data\db\auditlog.json"
    • Linux:"/data/db/auditlog.json"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

  4. 設定 MongoDB 以寫入紀錄:

    1. 針對 Windows,編輯組態檔 mongod.cfg。 若為 Linux,則 mongod.conf為 。
    2. dbpath 參數設定為 data/db
    3. path 參數設定為 /data/db/auditlog.json
    4. 如需更多參數和詳細數據,請參閱 MongoDB 檔

回到頁首

NGINX HTTP 伺服器

請遵循下列步驟,從 NGINX HTTP Server 擷取記錄訊息:

  1. 資料表名稱: NGINX_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Linux:"/var/log/nginx.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

Oracle WebLogic Server

請遵循下列步驟,從 Oracle WebLogic Server 擷取記錄訊息:

  1. 資料表名稱: OracleWebLogicServer_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
    • Linux:"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

PostgreSQL 事件

請遵循下列步驟從 PostgreSQL 事件擷取記錄訊息:

  1. 資料表名稱: PostgreSQL_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"C:\*.log"
    • Linux:"/var/log/*.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

  4. 編輯 PostgreSQL 事件組態檔 postgresql.conf ,將記錄輸出至檔案。

    1. 設定 log_destination='stderr'
    2. 設定 logging_collector=on
    3. 如需更多參數和詳細數據,請參閱 PostgreSQL 檔

回到頁首

SecurityBridge Threat Detection for SAP

請遵循下列步驟,從適用於 SAP 的 SecurityBridge 威脅偵測擷取記錄訊息:

  1. 資料表名稱: SecurityBridgeLogs_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Linux:"/usr/sap/tmp/sb_events/*.cef"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

SquidProxy

請遵循下列步驟,從 SquidProxy 擷取記錄訊息:

  1. 資料表名稱: SquidProxy_CL

  2. 記錄儲存位置:記錄會儲存為應用程式主計算機上的文本檔。 在同一部計算機上安裝 AMA 以收集檔案。

    默認檔案位置 (“filePatterns”):

    • Windows:"C:\Squid\var\log\squid\*.log"
    • Linux:"/var/log/squid/*.log"
  3. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    將 DCR 範本中的 {TABLE_NAME} 和 {LOCAL_PATH_FILE} 占位符取代為步驟 1 和 2 中的值。 將其他佔位元取代為指示。

回到頁首

Ubiquiti UniFi

請遵循下列步驟,從 Ubiquiti UniFi 擷取記錄訊息:

  1. 資料表名稱: Ubiquiti_CL

  2. 記錄儲存位置:在您的外部 syslog 伺服器上建立記錄檔。 將 syslog 精靈寫入許可權授與檔案。 如果尚未安裝 AMA,請在外部 syslog 伺服器上安裝 AMA。 在連接器的 [檔案模式 ] 字段中輸入此檔名和路徑,或取代 {LOCAL_PATH_FILE} DCR 中的佔位元。

  3. 設定 syslog 精靈將其 Ubiquiti 記錄訊息匯出至暫存文字檔,讓 AMA 可以收集它們。

    1. 在資料夾中建立 rsyslog 精靈的自訂組態檔, /etc/rsyslog.d/ 並具有下列篩選條件:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (將 取代<parameters>為所表示物件的實際名稱。 <>LOG_FILE_NAME是您在步驟 2 中建立的檔案。

    2. 重新啟動 rsyslog。 典型的命令語法為 systemctl restart rsyslog

  4. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    • 將資料列名稱 "RawData" 取代為資料列名稱 "Message"

    • 將 transformKql 值 "source" 取代為 值 "source | project-rename Message=RawData"

    • {TABLE_NAME}將 DCR 範本中的 和佔位元取代為步驟 1 和 {LOCAL_PATH_FILE} 2 中的值。 將其他佔位元取代為指示。

  5. 設定安裝 Azure 監視器代理程式的電腦以開啟 syslog 埠,並設定該處的 syslog 精靈以接受來自外部來源的訊息。 如需將此設定自動化的詳細指示和腳本,請參閱 設定記錄轉寄站以接受記錄

  6. 設定及連線 Ubiquiti 控制器。

    1. 請遵循Ubiquiti所提供的指示來啟用 syslog 和選擇性地偵錯記錄。
    2. 選取 [設定系統設定>>控制器>設定遠程記錄] 並啟用 syslog。

回到頁首

VMware vCenter

請遵循下列步驟從 VMware vCenter 擷取記錄訊息:

  1. 資料表名稱: vcenter_CL

  2. 記錄儲存位置:在您的外部 syslog 伺服器上建立記錄檔。 將 syslog 精靈寫入許可權授與檔案。 如果尚未安裝 AMA,請在外部 syslog 伺服器上安裝 AMA。 在連接器的 [檔案模式 ] 字段中輸入此檔名和路徑,或取代 {LOCAL_PATH_FILE} DCR 中的佔位元。

  3. 設定 syslog 精靈將其 vCenter 記錄訊息匯出至暫存文字檔,讓 AMA 可以收集它們。

    1. 編輯組態檔/etc/rsyslog.conf,以在 指示詞區段之前新增下列範本行:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

    2. 為 rsyslog 精靈建立自定義組態檔,並儲存為 /etc/rsyslog.d/10-vcenter.conf 下列篩選條件:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (將 取代 <LOG_FILE_NAME> 為您建立的記錄檔名稱。

    3. 重新啟動 rsyslog。 典型的命令語法為 sudo systemctl restart rsyslog

  4. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    • 將資料列名稱 "RawData" 取代為資料列名稱 "Message"

    • 將 transformKql 值 "source" 取代為 值 "source | project-rename Message=RawData"

    • {TABLE_NAME}將 DCR 範本中的 和佔位元取代為步驟 1 和 {LOCAL_PATH_FILE} 2 中的值。 將其他佔位元取代為指示。

    • dataCollectionEndpointId 應該填入您的 DCE。 如果您沒有帳戶,請定義新的 。 如需指示,請參閱 建立數據收集端點

  5. 設定安裝 Azure 監視器代理程式的電腦以開啟 syslog 埠,並設定該處的 syslog 精靈以接受來自外部來源的訊息。 如需將此設定自動化的詳細指示和腳本,請參閱 設定記錄轉寄站以接受記錄

  6. 設定並連線 vCenter 裝置。

    1. 請遵循 VMware 提供的指示來傳送 syslog 訊息。
    2. 使用安裝 Azure 監視器代理程式之電腦的 IP 位址或主機名。

回到頁首

Zscaler Private Access (ZPA)

請遵循下列步驟從 Zscaler Private Access 擷取記錄訊息(ZPA):

  1. 資料表名稱: ZPA_CL

  2. 記錄儲存位置:在您的外部 syslog 伺服器上建立記錄檔。 將 syslog 精靈寫入許可權授與檔案。 如果尚未安裝 AMA,請在外部 syslog 伺服器上安裝 AMA。 在連接器的 [檔案模式 ] 字段中輸入此檔名和路徑,或取代 {LOCAL_PATH_FILE} DCR 中的佔位元。

  3. 設定 syslog 精靈將其 ZPA 記錄訊息匯出至暫存文字檔,讓 AMA 可以收集它們。

    1. 在資料夾中建立 rsyslog 精靈的自訂組態檔, /etc/rsyslog.d/ 並具有下列篩選條件:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (將 取代 <parameters> 為所代表對象的實際名稱。

    2. 重新啟動 rsyslog。 典型的命令語法為 systemctl restart rsyslog

  4. 根據使用 Azure 監視器代理程式從文本檔收集記錄中的 指示建立 DCR,並擷取至 Microsoft Sentinel

    • 將資料列名稱 "RawData" 取代為資料列名稱 "Message"

    • 將 transformKql 值 "source" 取代為 值 "source | project-rename Message=RawData"

    • {TABLE_NAME}將 DCR 範本中的 和佔位元取代為步驟 1 和 {LOCAL_PATH_FILE} 2 中的值。 將其他佔位元取代為指示。

  5. 設定安裝 Azure 監視器代理程式的電腦以開啟 syslog 埠,並設定該處的 syslog 精靈以接受來自外部來源的訊息。 如需將此設定自動化的詳細指示和腳本,請參閱 設定記錄轉寄站以接受記錄

  6. 設定 ZPA 接收器並連線。

    1. 請遵循 ZPA 所提供的指示。 選取 [JSON] 作為記錄範本。
    2. 選取 [設定系統設定>>控制器>設定遠程記錄] 並啟用 syslog。

回到頁首