سجل النظام عبر موصل بيانات AMA

سجل النظام عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel

يجمع موصل بيانات Syslog عبر AMA في Microsoft Sentinel السجلات من العديد من أجهزة وأجهزة الأمان. تسرد هذه المقالة تعليمات التثبيت التي يوفرها الموفر لأجهزة أمان محددة وأجهزة تستخدم موصل البيانات هذا. اتصل بموفر الخدمة للحصول على تحديثات أو مزيد من المعلومات أو عندما تكون المعلومات غير متوفرة لجهاز أو جهاز الأمان الخاص بك.

لإعادة توجيه البيانات إلى مساحة عمل تحليلات السجلات لـ Microsoft Sentinel، أكمل الخطوات في إدخال سجل النظام ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor. عند إكمال هذه الخطوات، قم بتثبيت Syslog عبر موصل بيانات AMA في Microsoft Sentinel. بعد ذلك، استخدم تعليمات الموفر المناسب في هذه المقالة لإكمال الإعداد.

لمزيد من المعلومات حول حل Microsoft Sentinel ذي الصلة لكل من هذه الأجهزة أو الأجهزة، ابحث في Azure Marketplace عن نوع المنتج > قوالب الحلول أو راجع الحل من مركز المحتوى في Microsoft Sentinel.

هام

قد تظل الحلول المقدمة من موردي الجهات الخارجية تشير إلى موصل وكيل Log Analytics الذي تم إيقافه. لا يتم دعم هذه الموصلات لعمليات النشر الجديدة. يمكنك الاستمرار في استخدام نفس الحلول مع Syslog عبر موصل بيانات AMA بدلاً من ذلك.

جدار حماية باراكودا كلاودجين

اتبع التعليمات لتكوين بث syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Microsoft Sentinel لعنوان IP للوجهة.

بلاك بيري سيلانس بروتكت

اتبع هذه التعليمات لتكوين CylanceProtect لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

البنية الأساسية المرتكزة على تطبيقات Cisco (ACI)

قم بتكوين نظام Cisco ACI لإرسال السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت الوكيل. اتبع هذه الخطوات لتكوين وجهة سجل النظام ومجموعة الوجهة ومصدر سجل النظام.

تم تطوير موصل البيانات هذا باستخدام الإصدار 1.x من Cisco ACI.

محرك خدمات الهوية من Cisco (ISE)

اتبع هذه التعليمات لتكوين مواقع تجميع سجلات النظام عن بُعد في نشر Cisco ISE الخاص بك.

ساعة سيسكو ستيلثواتش

أكمل خطوات التكوين التالية للحصول على سجلات Cisco Stealthwatch في Microsoft Sentinel.

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC) كمسؤول.

2. في شريط القوائم، حدد التكوين > إدارة الاستجابة.

3. من قسم الإجراءات في قائمة إدارة الاستجابة، حدد إضافة > رسالة Syslog.

4. في نافذة «إجراء إضافة رسالة Syslog»، قم بتكوين المعلمات.

5. أدخل التنسيق المخصص التالي:

| لانكوب | ساعة التخفي | 7.3 | {معرف نوع التنبيه} |0x7C | src= {source_ip} |dst= {target_ip} |منفذ DST= {المنفذ} |proto= {بروتوكول} |msg= {وصف نوع التنبيه} |الرسالة الكاملة = {التفاصيل} |البداية = {وقت التشغيل_النشط} |النهاية = {إنهاء_الوقت_النشط} |cat= {وقت التشغيل_النشط} |cat= {وقت التشغيل_النشط} اسم فئة التنبيه} | معرف المنبه = {معرف المنبه} | المصدر HG= {أسماء مجموعات المضيف_المصدر} | اسم مجمع المضيف= {أسماء مجموعات المضيف_المستهدفة} | لقطة مضيف المصدر = {source_url} | لقطة المضيف المستهدف = {target_url} | اسم مجمّع التدفق = {اسم الجهاز} | عنوان IP الخاص بمجمع التدفق = {device_ip} | domain= {اسم النطاق}} | اسم المصدّر = {المصدر_اسم المضيف} |عنوان IP للمصدّر = {exporter_ip} |معلومات المصدّر = {exporter_label} | المستخدم المستهدف = {target_username} | اسم المضيف المستهدف = {target_hostname} | مستخدم المصدر = {اسم المستخدم المصدر} | حالة التنبيه = {حالة الإنذار} | alarmeV = {اسم شدة الإنذار}

6. حدد التنسيق المخصص من القائمة ثم موافق.

7. حدد إدارة الاستجابة > القواعد.

8. حدد إضافة منبه واستضافته.

9. قم بتوفير اسم قاعدة في حقل الاسم.

10. قم بإنشاء القواعد عن طريق تحديد القيم من قوائم النوع والخيارات. لإضافة المزيد من القواعد، حدد رمز علامة الحذف. بالنسبة إلى منبه المضيف، ادمج أكبر عدد ممكن من الأنواع في بيان قدر الإمكان.

تم تطوير موصل البيانات هذا باستخدام إصدار Cisco Stealthwatch 7.3.2

أنظمة الحوسبة الموحدة من Cisco (UCS)

اتبع هذه التعليمات لتكوين Cisco UCS لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار CiscoUCS. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

جهاز أمان الويب من Cisco (WSA)

قم بتكوين Cisco لإعادة توجيه السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت الوكيل. اتبع هذه الخطوات لتكوين Cisco WSA لإعادة توجيه السجلات عبر Syslog

حدد Syslog Push كطريقة استرداد.

تم تطوير موصل البيانات هذا باستخدام AsyncoS 14.0 لجهاز أمان الويب من Cisco

‍

وحدة التحكم في تسليم تطبيقات Citrix (ADC)

قم بتكوين Citrix ADC (NetScaler سابقًا) لإعادة توجيه السجلات عبر Syslog.

1. انتقل إلى علامة تبويب التكوين > النظام > التدقيق > سجل النظام > علامة تبويب الخوادم

2. حدد اسم إجراء Syslog.

3. قم بتعيين عنوان IP لخادم Syslog البعيد والمنفذ.

4. قم بتعيين نوع النقل كـ TCP أو UDP بناءً على تكوين خادم سجل النظام البعيد.

لمزيد من المعلومات، راجع وثائق Citrix ADC (NetScaler سابقًا).

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل. للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار CitrixADcEvent. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

يتطلب هذا المحلل قائمة مراقبة باسم Sources_by_sourceType.

i. إذا لم تكن لديك قائمة مراقبة تم إنشاؤها بالفعل، فقم بإنشاء قائمة مراقبة من Microsoft Sentinel في بوابة Azure.

ثانيا. افتح قائمة المراقبة Sources_by_sourceType وأضف إدخالات لمصدر البيانات هذا.

ثانيا. قيمة نوع المصدر لسيتريكسادك هي سيتريكسادك. لمزيد من المعلومات، راجع إدارة موزعي نماذج معلومات الأمان المتقدمة (ASIM).

‍

منع فقدان بيانات Digital Guardian

أكمل الخطوات التالية لتكوين Digital Guardian لإعادة توجيه السجلات عبر Syslog:

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Digital Guardian.

2. حدد مساحة العمل > تصدير البيانات > إنشاء تصدير.

3. من قائمة مصادر البيانات، حدد التنبيهات أو الأحداث كمصدر للبيانات.

4. من قائمة أنواع التصدير، حدد Syslog.

5. من قائمة النوع، حدد UDP أو TCP كبروتوكول النقل.

6. في حقل الخادم، اكتب عنوان IP لخادم syslog البعيد.

7. في حقل المنفذ، اكتب 514 (أو منفذ آخر إذا تم تكوين خادم syslog لاستخدام منفذ غير افتراضي).

8. من قائمة مستوى الخطورة، حدد مستوى الخطورة.

9. حدد خانة الاختيار هل هي نشطة.

10. حدد التالي.

11. من قائمة الحقول المتاحة، أضف حقول التنبيه أو الأحداث لتصدير البيانات.

12. حدد معايير الحقول في تصدير البيانات والتالي.

13. حدد مجموعة للمعايير والتالي.

14. حدد استعلام الاختبار.

15. حدد التالي.

16. احفظ تصدير البيانات.

‍

تكامل إسيت بروتكت

قم بتكوين ESET PROTECT لإرسال جميع الأحداث من خلال سجل النظام.

1. اتبع هذه التعليمات لتكوين إخراج syslog. تأكد من تحديد BSD كتنسيق و TCP كوسيلة نقل.

2. اتبع هذه التعليمات لتصدير جميع السجلات إلى syslog. حدد JSON كتنسيق الإخراج.

‍

تحليلات Exabeam المتقدمة

اتبع هذه التعليمات لإرسال بيانات سجل نشاط Exabeam Advanced Analytics عبر سجل النظام.

تم تطوير موصل البيانات هذا باستخدام Exabeam Advanced Analytics i54 (سجل النظام)

‍

التنبؤ

أكمل الخطوات التالية للحصول على سجلات Forescout في Microsoft Sentinel.

1. حدد جهازًا لتكوينه.

2. اتبع هذه التعليمات لإعادة توجيه التنبيهات من منصة Forescout إلى خادم syslog.

3. قم بتكوين الإعدادات في علامة تبويب مشغلات Syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار البرنامج المساعد Forescout Syslog: v3.6

‍

جيتلاب

اتبع هذه التعليمات لإرسال بيانات سجل تدقيق Gitlab عبر syslog.

‍

إيسك بيند

1. اتبع هذه التعليمات لتكوين ISC Bind لإعادة توجيه سجل النظام: سجلات DNS.

2. قم بتكوين سجل النظام لإرسال حركة مرور سجل النظام إلى الوكيل. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

‍

نظام تشغيل هوية شبكة Infoblox (NIOS)

اتبع هذه التعليمات لتمكين إعادة توجيه سجل النظام لسجلات Infoblox NIOS. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار Infoblox. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

يتطلب هذا المحلل قائمة مراقبة باسم Sources_by_sourceType.

i. إذا لم تكن لديك قائمة مراقبة تم إنشاؤها بالفعل، فقم بإنشاء قائمة مراقبة من Microsoft Sentinel في بوابة Azure.

ثانيا. افتح قائمة المراقبة Sources_by_sourceType وأضف إدخالات لمصدر البيانات هذا.

ثانيا. قيمة نوع المصدر لـ InfoBloxnios هي InfoBloxnios.

لمزيد من المعلومات، راجع إدارة موزعي نماذج معلومات الأمان المتقدمة (ASIM).

‍

إدارة نقاط النهاية الموحدة من Ivanti

اتبع التعليمات لإعداد إجراءات التنبيه لإرسال السجلات إلى خادم syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار إدارة نقاط النهاية الموحدة من Ivanti 2021.1 الإصدار 11.0.3.374

‍

جونيبر إس آر إكس

1. أكمل التعليمات التالية لتكوين Juniper SRX لإعادة توجيه سجل النظام:

• سجلات حركة المرور (سجلات سياسة الأمان)

• سجلات النظام

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

‍

منصة McAfee لأمن الشبكات

أكمل خطوات التكوين التالية للحصول على سجلات منصة McAfee® Network Security Platform إلى Microsoft Sentinel.

1. قم بإعادة توجيه التنبيهات من المدير إلى خادم syslog.

2. يجب إضافة ملف تعريف إعلام syslog. أثناء إنشاء ملف تعريف، للتأكد من تنسيق الأحداث بشكل صحيح، أدخل النص التالي في مربع نص الرسالة:

<SyslogAlertForwarderNSP>: |معرف_تنبيه_المستشعر|نوع_التنبيه |وقت_الهجوم|اسم_الهجوم_|معرف_الهجوم_شدة|توقيع_الهجوم|ثقت_الهجوم|نطاق_المستشعر|الواجهة_المصدر_IP|منفذ_الوجهة_الوجهة|الفئة_الفرعية |الاتجاه|حالة_النتائج_الكاشفة|بروتوكول_التطبيق|شبكة _بروتوكول|

تم تطوير موصل البيانات هذا باستخدام إصدار منصة McAfee® Network Security Platform: 10.1.x.

‍

منسق السياسة الإلكترونية في مكافي

اتصل بالموفر للحصول على إرشادات حول كيفية تسجيل خادم syslog.

‍

ميكروسوفت سايمون لينوكس

يعتمد موصل البيانات هذا على موزعي ASIM استنادًا إلى وظائف Kusto للعمل بالشكل المتوقع. انشر المحللين.

يتم نشر الوظائف التالية:

• حدث ملف VIM تم إنشاء ملف Linux Syson، حدث ملف VIM تم حذف ملف Linux Sysmon

• إنشاء عملية VIM لنظام التشغيل Linux، إنهاء معالج VIM نظام التشغيل Linux

• جلسة شبكة VIM لنظام التشغيل Linux SysMon

‍

ناسوني

اتبع التعليمات الواردة في دليل وحدة تحكم إدارة Nasuni لتكوين أجهزة Nasuni Edge لإعادة توجيه أحداث سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux الذي يقوم بتشغيل Azure Monitor Agent في حقل تكوين الخوادم لإعدادات سجل النظام.

‍

أوبن في بي إن

قم بتثبيت الوكيل على الخادم حيث تتم إعادة توجيه OpenVPN. تتم كتابة سجلات خادم OpenVPN في ملف سجل النظام الشائع (اعتمادًا على توزيع Linux المستخدم: على سبيل المثال /var/log/messages).

‍

تدقيق قاعدة بيانات Oracle

أكمل الخطوات التالية.

1. قم بإنشاء قاعدة بيانات Oracle اتبع هذه الخطوات.

2. قم بتسجيل الدخول إلى قاعدة بيانات Oracle التي أنشأتها. اتبع هذه الخطوات.

3. قم بتمكين التسجيل الموحد عبر سجل النظام عن طريق تغيير النظام لتمكين التسجيل الموحد باتباع هذه الخطوات.

4. إنشاء سياسة تدقيق وتمكينها للتدقيق الموحد اتبع هذه الخطوات.

5. تمكين سجل النظام ولقطات عارض الأحداث لمسار التدقيق الموحد اتبع هذه الخطوات.

‍

بلس كونيكت سكيور

اتبع التعليمات لتمكين بث سجل النظام لسجلات Pulse Connect Secure. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار PulseConnectSecure. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

آر إس إيه سيكوريد

أكمل الخطوات التالية للحصول على سجلات إدارة مصادقة RSA® SecurID في Microsoft Sentinel. اتبع هذه التعليمات لإعادة توجيه التنبيهات من المدير إلى خادم syslog.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار RSASecuridamEvent. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

تم تطوير موصل البيانات هذا باستخدام إصدار إدارة مصادقة RSA SecurID: 8.4 و 8.5

‍

جدار حماية سوفوس إكس جي

اتبع هذه التعليمات لتمكين بث syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل. للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SophosXGFirewall. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

حماية نقطة النهاية من Symantec

اتبع هذه التعليمات لتكوين حماية Symantec Endpoint لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل. للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecendPointProtection. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

سيمانتيك بروكسي إس جي

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Blue Coat.

2. حدد التكوين > تسجيل الوصول > التنسيقات.

3. حدد جديد.

4. أدخل اسمًا فريدًا في حقل اسم التنسيق.

5. حدد زر الاختيار لسلسلة التنسيق المخصص والصق السلسلة التالية في الحقل.

1$ (التاريخ) $ (الوقت المستغرق) $ (الوقت المستغرق) $ (cs-ip) $ (cs-userdn) $ (cs-auth-groups) $ (x-excuption -id) $ (sc-filter-result) $ (cs-categories) $ (cs (المرجع) $ (sc-status) $ (s-status) $ (s-action) $ (طريقة cs-method) $ (quot) $ (s- status) $ (s-action) $ (طريقة cs-method) $ (quot) $ (نوع المحتوى)) $ (quot) $ (مخطط cs-uri) $ (cs-host) $ (cs-uri-port) $ (cs-uri-path) $ (cs-uri-query) $ (cs-uri-extension) $ (cs (وكيل المستخدم)) $ (s-ip) $ (s-ip) $ (sr-bytes) $ (rs-bytes) $ (x-virus-id)) $ (x-bluecoat-اسم التطبيق) $ (x-bluecoat-تشغيل التطبيق) $ (cs-uri-port) $ (x-cs-client-ip-country) $ (cs-threat-risk)

6. حدد موافق.

7. حدد Applyn.

8. اتبع هذه التعليمات لتمكين بث سجل النظام لسجلات Access. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecProxysG. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

سيمانتيك VIP

اتبع هذه التعليمات لتكوين بوابة Symantec VIP للمؤسسات لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecVIP. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

برنامج VMware ESXi

1. اتبع هذه التعليمات لتكوين VMware ESXi لإعادة توجيه سجل النظام:

• برنامج VMware ESXi 5.0+

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار VMwareESXi. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

واتش جارد فايربوكس

اتبع هذه التعليمات لإرسال بيانات سجل WatchGuard Firebox عبر سجل النظام.

‍