اتصل

يرشدك هذا الدليل إلى كيفية إعداد إعادة توجيه سجل النظام لـ Microsoft Sentinel باستخدام ثلاثة تكوينات شائعة. لا تحتاج إلى أن تكون خبيرًا في Linux للمتابعة.

ما هو سجل النظام

Syslog هو بروتوكول تسجيل قياسي معرّف في RFC 5424 يحدد كيفية تنسيق رسائل السجل ونقلها عبر الشبكة.

افتراضيًا، يستخدم Syslog منفذ UDP 514، على الرغم من أنه يمكن أن يعمل أيضًا عبر TCP - عادةً على المنفذ 6514 عند تأمينه باستخدام TLS. إنها طريقة خفيفة وفعالة لتجميع التسجيل من مجموعة متنوعة من المصادر.

يتم دعم Syslog على نطاق واسع عبر:

أنظمة يونكس/لينكس

أجهزة الشبكة مثل جدران الحماية وأجهزة التوجيه

العديد من منتجات الأمان وتطبيقات المؤسسات

في ما يلي مثال لرسالة سجل النظام الأولية:

<134>1 1515988859.626061236 تدفقات الأجهزة src=172.21.84.107 dst=10.52.193.137 ماك = 5C: E0:c 5:22:85:بروتوكول E4 = منفذ tcp = 50395 dport=443 نمط: السماح للجميع

ما هي إعادة توجيه سجل النظام

تقوم إعادة توجيه Syslog بإرسال رسائل السجل من جهاز مثل الخادم أو جهاز التوجيه أو جدار الحماية إلى نظام بعيد مثل خادم السجل أو SIEM. يتيح ذلك التسجيل المركزي لتسهيل المراقبة والتحليل.

إنه مهم بشكل خاص لأن معظم جدران الحماية ترسل سجلات بصيغة syslog.

مثال لإعداد سجل نظام FortiGate

ما هي أداة إعادة توجيه سجل النظام

عادةً ما تكون أداة إعادة توجيه سجل النظام عبارة عن جهاز Linux يتلقى السجلات بتنسيق syslog ويعيد توجيهها عبر الشبكة إلى منصة مراقبة مثل SIEM. يمكن لبعض وكلاء إعادة التوجيه أيضًا تحليل الرسائل أو تصفيتها أو تحويلها قبل إرسالها.

تتضمن أدوات إعادة توجيه سجل النظام الشائعة rsyslog وsyslog-ng وNXlog وGraylog.

في هذا الدليل، سنستخدم rsyslog، وهو خيار شائع وخفيف يتم تضمينه افتراضيًا في معظم توزيعات Linux.

إعادة توجيه سجل النظام لميكروسوفت سنتينل

على مستوى عالٍ، تعمل إعادة توجيه سجل النظام إلى Microsoft Sentinel على النحو التالي:

تم تكوين مصدر البيانات (مثل جدار الحماية أو الخادم) لإرسال رسائل سجل النظام إلى جهاز Linux يقوم بتشغيل برنامج syslog الخفي. في هذا الدليل، هذا هو rsyslog.

يقوم عامل Azure Monitor (AMA) على هذا الجهاز بتجميع رسائل سجل النظام.

تقوم AMA بعد ذلك بإعادة توجيه السجلات إلى Microsoft Sentinel عبر قاعدة تجميع البيانات المكونة (DCR).

عرض عالي المستوى لإعادة توجيه سجل النظام لـ MS Sentinel

الاعتبارات

قبل إعداد أداة إعادة توجيه سجل النظام، يجدر التفكير في بعض النقاط الأساسية:

حجم السجل: كم عدد السجلات التي ترسلها؟ سيعتمد حجم ومواصفات جهاز VM الخاص بك بشكل كبير على معدل نقل السجلات.

موقع النشر: هل سيتم تشغيل وكلاء الشحن محليًا أم في السحابة؟

الموثوقية: هل يكفي جهاز افتراضي واحد، أم أنك بحاجة إلى إعداد متوازن التحميل للتوافر العالي؟

في الإنتاج، هناك اعتبارات فنية أخرى أيضًا مثل UDP مقابل TCP، و TLS المتبادل، والرابط الخاص، وفحص حركة المرور، والتحكم في الوصول، والتدقيق، والتنبيه على المصادر الصامتة والمزيد.

ولكن بصراحة في معظم الحالات، يتم تحديد ذلك من خلال بنية الأمان والشبكة الأوسع. إذا كنت قد بدأت للتو، فلا تشدد عليهم كثيرًا:)

الإعداد التجريبي

في هذا العرض التوضيحي، سأتطرق إلى إعداد VNet واحد بسيط:

يقوم جهاز Ubuntu VM واحد بإنشاء سجلات بتنسيق سجل النظام.

يتلقى جهاز Ubuntu VM آخر، يعمل بنظام rsyslog، هذه السجلات.

يقوم هذا الجهاز الظاهري بعد ذلك بإعادة توجيه السجلات إلى Microsoft Sentinel باستخدام عامل Azure Monitor.

لا يوجد تعقيد، لا HA، لا Bicep، لا Terraform مجرد مثال مباشر لإظهار كيفية عمل إعادة توجيه syslog من البداية إلى النهاية.

إعداد تجريبي واحد لـ VNET

[اختياري] مولد سجل النظام

هذه الخطوة اختيارية ولكنها مفيدة للاختبار. يمكنك محاكاة حركة مرور سجل النظام باستخدام أدوات مثل المسجل أو echo أو عن طريق تصدير البيانات من تطبيق يدعم إخراج syslog.

سنبدأ بإنشاء VM الذي سيولد رسائل سجل النظام. بالنسبة لهذا العرض التوضيحي، سنستخدم Standard_D2LS_v5 VM (2 وحدة معالجة مركزية وذاكرة 4 جيجا بايت).

انتقل إلى portal.azure.com → الأجهزة الافتراضية → إنشاء.

فيما يلي إعدادات التكوين الرئيسية للتركيز عليها - سنتخطى الإعدادات الافتراضية ونسلط الضوء فقط على ما يهم.

حدد خادم أوبونتو 22.04:

أوبونتو 22.04

2. قم بتعيين منافذ الشبكة العامة إلى «لا شيء» (سنقوم بتغيير ذلك لاحقًا):

لا توجد منافذ واردة عامة

3. اختياري: تمكين إيقاف التشغيل التلقائي ضمن الإدارة:

إيقاف تشغيل تلقائي اختياري

قم بإنشاء VM. سيُطلب منك تنزيل مفتاح SSH.

4. قم بإنشاء برنامج نصي يقوم بإنشاء بيانات سجل النظام الوهمية. سيقوم البرنامج النصي أدناه بما يلي:

مقبس استيراد

وقت الاستيراد

استيراد عشوائي

# التكوين

SYSLOG_SERVER = «عنوان IP الخاص بالمجمع الخاص بك» # التغيير إلى عنوان IP الخاص بخادم syslog

SYSLOG_PORT = 514 # منفذ UDP لسجل النظام

EPS = 20 # حدثًا في الثانية

المرفق = 20 # محلي 4

الخطورة = 6 # معلوماتية

PRI = (المنشأة * 8) + الخطورة

# نماذج لتجمعات البيانات

source_ips = ['172.21.84.107'، '192.168.1.10'، '10.0.0.55'، '192.168.100.23']

dest_ips = ['10.52.193.137'، '8.8.8.8'، '172.16.0.1'، '192.168.1.100']

أجهزة ماكينتوش = ['5C:E0:C 5:22:85:E4"، '00:1 A: 2B:3C:4D:5E'، 'D4:EE: 07:11:22:33']

البروتوكولات = ['tcp'، 'udp'، 'icmp']

الإجراءات = [«السماح للجميع»، «رفض الكل»، «السماح بـ http»، «رفض ftp»]

ديف get_local_ip ():

«" «محاولة الحصول على عنوان IP المحلي المستخدم للوصول إلى SYSLOG_SERVER."»

حاول:

s = مقبس. مقبس (مقبس.af_inet، مقبس.sock_dgram)

# لا يلزم أن تكون قابلة للوصول؛ فقط للحصول على الواجهة الخارجية

s.connect (خادم سجل النظام، منفذ سجل النظام))

local_ip = s.getsockname () [0]

s.close ()

إرجاع local_ip

باستثناء الاستثناء:

إرجاع '0.0.0.0'

قم بإنشاء رسالة شعار النظام ():

الطابع الزمني = time.time ()

الإصدار = 1

نوع الجهاز = «جهاز»

log_type = «التدفقات»

src_ip = اختيار عشوائي (source_ips)

dst_ip = اختيار عشوائي (dest_ips)

ماك = راندوم تشويس (أجهزة ماكينتوش)

بروتوكول = اختيار عشوائي (بروتوكولات)

sport = random.randint (1024، 65535) إذا كان البروتوكول في ['tcp'، 'udp'] وإلا 0

dport = الاختيار العشوائي ([80، 443، 53، 22، 0]) إذا كان البروتوكول في ['tcp'، 'udp'] آخر 0

النمط = الاختيار العشوائي (الإجراءات)

msg = (f"< {PRI} > {الإصدار} {الطابع الزمني: .9f} {نوع الجهاز} {log_type}»

f"src= {src_ip} dst= {dst_ip} mac= {mac} بروتوكول = {بروتوكول}»

«sport= {sport} sport= {dport} النمط: {pattern}»)

رسالة العودة

حذف رسائل send_syslogs (eps):

جورب = مقبس. مقبس (مقبس. AF_inet، مقبس.sock_dgram)

الفاصل الزمني = 1.0/eps

local_ip = get_local_ip ()

طباعة («إرسال رسائل سجل النظام على {eps} EPS إلى {SYSLOG_SERVER}: {SYSLOG_PORT}... (اضغط على Ctrl+C للتوقف)»)

حاول:

بينما صحيح:

msg = إنشاء رسالة سجل النظام ()

sock.send إلى (msg.encode ()، (خادم تسجيل النظام، SYSLOG_PORT))

طباعة («مرسلة من {local_ip} إلى {SYSLOG_SERVER}: {msg}»)

الوقت. النوم (الفاصل الزمني)

باستثناء مقاطعة لوحة المفاتيح:

طباعة (»\nتم إيقافها من قبل المستخدم.»)

أخيرًا:

سوك.كلوز ()

إذا كان __name__ == «__main__»:

إرسال رسائل سجل النظام (EPS)

5. انتقل إلى «إعدادات الشبكة» وأنشئ قاعدة منفذ واردة جديدة للسماح لـ SSH بالمرور عبر المنفذ 22 من عنوان IP الخاص بك:

مثال لقاعدة NSG التي تسمح لـ SSH بالدخول

6. استخدم SSH للاتصال بـ VM الخاص بك:

ssh -i 'مفتاح ssh الخاص بك' اسم المستخدم الخاص بك @public -ip-of-your-vm

7. قم بإنشاء ملف.py باستخدام محرر نصوص، على سبيل المثال nano:

نانو syslog_generator.py

8. قم بلصق محتوى البرامج النصية في الملف، واستبدل عنوان IP بعنوان IP الخاص بالمجمع واحفظه. قم بتشغيل الملف لمعرفة ما إذا كان يعمل بشكل صحيح. يجب أن يبدو إخراج وحدة التحكم كما يلي:

بيثون 3 syslog_generator.py

مثال لمخرجات وحدة التحكم

مثالي. يعمل البرنامج النصي لمولد سجل النظام الخاص بنا. الآن سنقوم بإنشاء وكلاء شحن syslog.

سيناريوهات معيد توجيه سجل النظام

السيناريو 1: مُعاد توجيه سجل النظام الفردي المعروف أيضًا باسم «Big Boy»

في بعض الأحيان تريد فقط أن تجعل الأمر بسيطًا وأنا أحترم ذلك. خادم كبير واحد يعمل كوكيل مخصص لسجل النظام الخاص بك. يعمل هذا الإعداد جيدًا مع:

العروض التوضيحية والاختبار

بيئات إنتاج أصغر

البيئات ذات حجم الأحداث المتوقع أو المنخفض

هناك شيء أساسي يجب أخذه في الاعتبار: تتم إعادة توجيه السجل إلى Microsoft Sentinel من خلال عامل Azure Monitor (AMA)، الذي يبلغ الحد الموصى به 10000 حدث في الثانية (EPS) لكل وكيل. في حين أنه يمكن من الناحية الفنية التعامل مع ما يصل إلى 20,000 EPS، فإن 10,000 EPS هو السقف المدعوم والموصى به.

📚 إرشادات أداء AMA

هذا يعني أن بنية وحدة إعادة التوجيه الفردية يمكن أن تكون خيارًا جيدًا فقط إذا ظل إجمالي حجم سجل النظام الوارد أقل من هذا الحد. إذا كان الأمر كذلك، فإن إعداد «Big Boy» يكون بسيطًا وينجز المهمة.

إعداد VM لسجل النظام الفردي.

السيناريو 2: أجهزة افتراضية متوازنة التحميل

بالنسبة لبيئات الإنتاج، يعد إعداد وكيل شحن سجل النظام المتوازن خيارًا قويًا. يتضمن ذلك نشر اثنين أو أكثر من الأجهزة الافتراضية خلف Azure Load Balancer الداخلي، حيث يقوم كل منهما بتشغيل برنامج خفي لسجل النظام مثل rsyslog.

يقدم هذا النهج:

تحسين الموثوقية وقابلية التوسع

التكرار، في حالة تعطل أحد وكلاء الشحن

مسار نظيف للتحجيم الأفقي في حالة نمو حجم السجل

إنها فعالة بشكل خاص عندما تكون أحجام السجلات قابلة للتنبؤ (وبصراحة في معظم البيئات، تكون كذلك). يحقق هذا الإعداد توازنًا جيدًا بين البساطة والاستعداد للإنتاج.

تحميل أجهزة افتراضية متوازنة

السيناريو 3: مجموعة مقياس VM المتوازن للتحميل (VMSS)

مجموعة مقاييس الأجهزة الافتراضية (VMSS) هي مجموعة ديناميكية من الأجهزة الافتراضية التي يمكنها التوسع تلقائيًا أو تصغيرها استنادًا إلى استخدام الموارد مثل تحميل وحدة المعالجة المركزية أو المقاييس المخصصة.

في سياق إعادة توجيه سجل النظام، يعني هذا:

عندما يتجاوز الحمل على وكلاء الشحن الحاليين حدًا معينًا، تتم إضافة VM جديد تلقائيًا للتعامل مع حركة المرور.

عند انخفاض الحمل، يتم إلغاء تزويد الأجهزة الافتراضية، مما يؤدي إلى توفير التكاليف والحفاظ على كفاءة النظام.

يجمع هذا الإعداد بين قابلية التوسع والمرونة والأتمتة، مما يجعله مثاليًا للبيئات الأكبر أو الأكثر ديناميكية حيث يمكن أن يرتفع حجم السجل أو يتذبذب. يتم وضع VMSS خلف موازن التحميل الداخلي، تمامًا كما هو الحال في سيناريو VM الثابت، ولكن بمرونة إضافية.

نظام VMSS متوازن التحميل

بيج بوي (VM واحد)

لنشر أداة إعادة توجيه سجل النظام واحدة، اتبع نفس الخطوات الموضحة سابقًا لإنشاء VM لمولد syslog، ولكن هذه المرة ستعمل بمثابة وكيل إعادة التوجيه.

قم بإنشاء VM:

انتقل إلى portal.azure.com → الأجهزة الافتراضية → إنشاء.

اختر أوبونتو 22.04 LTS كصورة.

حدد الحجم بناءً على حجم السجل المتوقع (على سبيل المثال، Standard_D2s_v3 أو أكبر).

2. قم بتثبيت موصل Syslog في Sentinel:

تثبيت حزمة محتوى سجل النظام

3. قم بإنشاء DCR:

انتقل إلى Microsoft Sentinel وافتح مساحة العمل الخاصة بك.

في القائمة اليسرى، حدد موصلات البيانات.

ابحث عن «Syslog عبر AMA» في القائمة وانقر لفتح صفحة الموصل.

انقر فوق إنشاء DCR لبدء عملية الإعداد.

تحدد قواعد جمع البيانات (DCRs) البيانات التي يتم جمعها ومن أي موارد.

في المعالج، حدد VM الذي قمت بنشره للتو كمورد للتجميع منه.

محدد الموارد

بعد ذلك، في قسم التجميع، اختر أنواع رسائل سجل النظام التي تريد جمعها.

بالنسبة لهذا العرض التوضيحي، أختار LOG_LOCAL4 باعتباره المرفق و LOG_DEBUG باعتباره الخطورة، حيث أن هذا هو المكان الذي يكتب فيه البرنامج النصي الخاص بي السجلات.

في إعداد الإنتاج، قد يختلف ذلك وفقًا للجهاز المصدر أو التطبيق.

إذا لم تكن متأكدًا، فيمكنك في البداية تحديد جميع المرافق والشدة، ثم تضييق نطاقها لاحقًا بناءً على ما تتلقاه بالفعل.

محدد المنشأة/الخطورة

قم بإنشاء قاعدة جمع البيانات. سيقوم تلقائيًا بنشر عامل Azure Monitor على خادم سجل النظام الخاص بك.

3. اتصل بجهاز VM الخاص بك باستخدام SSH وقم بتشغيل هذا البرنامج النصي:

سودو جيت -أو Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

تم تنفيذ البرنامج النصي بنجاح

سيقوم هذا البرنامج النصي بما يلي:

اكتشف ما إذا كان rsyslog أو syslog-ng قيد التشغيل

قم بتمكين مستمعي TCP/UDP على المنفذ 514.

أعد تشغيل البرنامج الخفي المناسب لتطبيق التغييرات.

تم التكوين ويمكننا اختبار إعادة التوجيه.

هام: في هذه البيئة التجريبية، يتم إرسال حركة المرور داخل VNET واحد. تسمح مجموعات أمان الشبكة (NSG) بحركة المرور بين شبكات VNet. إذا كنت ترسل سجل النظام من خارج VNET الخاص بك، فأنت بحاجة إلى السماح به على NSG:

السماح بالسجلات من خارج VNET

تحميل أجهزة افتراضية متوازنة

يقوم Load Balancer بتوزيع حركة المرور بين الأجهزة الافتراضية في تجمع الواجهة الخلفية الخاص به، مما يجعله مثاليًا للتوافر العالي والتحجيم الأفقي.

يمكنك إضافة VM واحد إلى مجموعة الواجهة الخلفية للاختبار، ولكن في الإنتاج، ستحتاج على الأرجح إلى اثنين على الأقل من أجهزة إعادة التوجيه الافتراضية. إذا لزم الأمر، اتبع نفس الخطوات السابقة لإنشاء syslog forwarder VM إضافي.

انتقل إلى Azure Portal، وابحث عن موازنات التحميل، وأنشئ موازن تحميل قياسي جديد.

سيتم استخدام هذا لتوجيه حركة مرور سجل النظام الواردة (UDP/TCP 514) عبر الأجهزة الافتراضية لجهاز إعادة التوجيه.

تكوين موازن التحميل الداخلي:

في قسم الأساسيات من إعداد موازن التحميل، حدد SKU: قياسي والنوع: داخلي.

يؤدي هذا إلى إنشاء Load Balancer داخليًا فقط، وهو مثالي لاستقبال حركة المرور من الأجهزة داخل نفس VNet.

إذا كنت بحاجة إلى قبول حركة المرور من خارج VNet الخاص بك (على سبيل المثال، من الأجهزة المحلية أو المصادر الخارجية)، فيمكنك اختيار النوع: عام بدلاً من ذلك وربط عنوان IP عام بـ Load Balancer.

علامة تبويب «أساسيات» موازن التحميل

قم بإنشاء تكوين IP للواجهة الأمامية واختر عنوان IP ديناميكي.

بعد ذلك، انتقل إلى قسم تجمعات الواجهة الخلفية وحدد الجهاز (الأجهزة) الافتراضية الذي تريد تضمينه في المجموعة.

ستكون هذه هي شركات إعادة توجيه سجل النظام الخاصة بك التي تتلقى حركة المرور من Load Balancer.

مثال على تجمع الواجهة الخلفية

انتقل إلى قواعد Inbound وحدد «إضافة قاعدة موازنة التحميل»:

عنوان IP الخاص بالواجهة الأمامية: تكوين IP للواجهة الأمامية

حمام السباحة الخلفي: حمام السباحة الخلفي الخاص بك

البروتوكول: UDP

المنفذ: 514

منفذ الواجهة الخلفية: 514

قم بإنشاء مسبار صحي يتحقق من منفذ TCP 514.

يفتح البرنامج النصي للإعداد الذي نستخدمه عند تكوين البرنامج الخفي لسجل النظام على كل جهاز افتراضي كلاً من منفذ UDP و TCP 514، لذلك سيتمكن المسبار من التحقق من توفر VM.

بمجرد تكوين المسبار، امض قدمًا وقم بإنشاء موازن التحميل.

إعداد Load-Balanced VM الخاص بك لإعادة توجيه سجل النظام جاهز الآن للاختبار.

راجع الخطوات الموجودة في قسم «اختبار سيناريوهات إعادة توجيه Syslog» للتحقق من استلام السجلات وإعادة توجيهها بشكل صحيح.

نظام VMSS متوازن التحميل

في هذه المرحلة، تناولنا كيفية إنشاء موازن التحميل وتكوين أجهزة إعادة توجيه سجل النظام لترحيل السجلات إلى Microsoft Sentinel.

إذا كنت تريد المزيد من المرونة والقدرة على التعامل مع ارتفاع حجم السجل، ففكر في استخدام مجموعة مقاييس الأجهزة الافتراضية (VMSS). VMSS عبارة عن مجموعة من الأجهزة الافتراضية التي يمكنها التوسع تلقائيًا (إضافة مثيلات) أو التوسع (إزالة المثيلات) بناءً على استخدام الموارد.

قم بتكوين سياسة Azure لتثبيت عامل Azure Monitor تلقائيًا على VMSS

تضمن هذه الخطوة تكوين أي مثيلات VM جديدة تم إنشاؤها ضمن مجموعة المقاييس تلقائيًا باستخدام:

تم تثبيت عامل مراقبة Azure (AMA).

قاعدة جمع البيانات الصحيحة (DCR) المرتبطة.

بمعنى آخر، يضمن هذا وجود الوكيل المسؤول عن إرسال السجلات ويعرف ما يجب جمعه ومكان إرساله.

لتكوين السياسة:

انتقل إلى سياسة Azure في البوابة الإلكترونية.

ابحث عن «تمكين شاشة Azure لـ VMSS باستخدام عامل مراقبة Azure (AMA)».

انقر فوق تعيين.

قم بتعيين النطاق - من الناحية المثالية فقط مجموعة الموارد التي تحتوي على VMSS الخاص بك.

تمكين تطبيق السياسة لضمان الامتثال.

بمجرد التعيين، ستطبق هذه السياسة تكوين AMA وDCR تلقائيًا على أي مثيل VM تم إنشاؤه ضمن مجموعة المقاييس.

انتقل إلى «المعلمات» وحدد:

أحضر هويتك المُدارة المعينة من قبل المستخدم: false

معرف مورد قاعدة جمع بيانات VMI: معرف مورد DCRs الخاص بك

سيؤدي تكوين 'false' للإعداد الأول إلى إنشاء هوية مُدارة مخصصة للنظام. هذا ليس مثاليًا في بيئات الإنتاج، ولكنه جيد للاختبار على نطاق صغير.

للحصول على معرف مورد DCR، انتقل إلى مورد DCR، وانقر فوق «JSON View» وانسخ معرف المورد من أعلى الصفحة:

معرف مورد DCR

2. قم بإنشاء مجموعة مقياس الجهاز الافتراضي:

انتقل إلى Azure Portal، وابحث عن مجموعات مقاييس الأجهزة الافتراضية، وحدد إنشاء.

في معالج الإعداد، قم بتعيين وضع التحجيم إلى Autoscaling.

اختر أوبونتو سيرفر 22.04 كصورة.

حدد Standard_D2LS_v5 كحجم VM.

يوفر هذا التكوين أساسًا قويًا لإعادة توجيه سجل النظام مع وجود مساحة كافية للتوسع استنادًا إلى التحميل.

واجهة مستخدم «أساسيات» VMSS

الإعداد الإلزامي التالي هو تمكين «مراقبة صحة التطبيق». بالنسبة إلى التحجيم المنسق لـ Azure، يجب القيام بذلك. استخدم الإعدادات التالية:

الحالات الصحية: ثنائية - صحية أو غير صحية

البروتوكول: TCP

رقم المنفذ: 514

وربما يكون الجزء الأكثر أهمية في إعداد مجموعة مقياس الآلة الافتراضية بشكل صحيح هو البرنامج النصي cloud-init. تريد تشغيل البرنامج النصي لتكوين syslog بمجرد توفير جهاز افتراضي جديد بحيث يكون جاهزًا للعمل على الفور. ضمن المستوى المتقدم، قم بلصق هذا في «البيانات المخصصة»:

#cloud -التكوين

runcmd:

- احصل على البريد الإلكتروني /tmp/Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py

- بيثون 3 /tmp/Forwarder_AMA_installer.py

مثالي. يمكننا الآن إنشاء VMSS.

اختبار سيناريوهات إعادة توجيه Syslog

في البرنامج النصي لمولد سجل النظام الخاص بك، قم بتحديث متغير SYSLOG_SERVER ليطابق عنوان IP الخاص بجهاز إعادة توجيه سجل النظام VM أو Load Balancer (إذا كنت تستخدم واحدًا).

متغيرات البرنامج النصي

قم بتشغيل البرنامج النصي على مولد syslog VM:

بيثون 3 syslog_generator.py

ثم تحقق مما إذا كان يتم استلام السجلات على أداة إعادة توجيه syslog عن طريق تشغيل tcmdump:

tcpdump -i أي منفذ 514 -A -vv &

يجب أن تشاهد مخرجًا كما في لقطة الشاشة أدناه.

تتدفق السجلات

الخطوة الأخيرة هي التحقق من تلقي هذه السجلات في Microsoft Sentinel. انتقل إلى Sentinel -> السجلات واكتب «Syslog»:

وصلت السجلات إلى ميكروسوفت سنتينل

في هذا الدليل، استعرضنا عملية إعداد إعادة توجيه سجل النظام إلى Microsoft Sentinel باستخدام العديد من سيناريوهات النشر. بدءًا من جهاز VM واحد بسيط («Big Boy»)، استكشفنا بعد ذلك المزيد من الإعدادات القابلة للتطوير والجاهزة للإنتاج باستخدام أجهزة افتراضية متوازنة التحميل ومجموعات موازين الماكينات الافتراضية (VMSS).

لقد غطينا المفاهيم الأساسية مثل:

ما هي إعادة توجيه سجل النظام وسجل النظام وسبب أهميتها للمراقبة الأمنية.

كيفية تكوين معيد توجيه سجل النظام المستند إلى Linux باستخدام rsyslog وعامل Azure Monitor (AMA).

كيفية إعداد قواعد جمع البيانات (DCRs) وتوصيل وكلاء الشحن بـ Microsoft Sentinel.

كيفية استخدام Azure Load Balancer وسياسة Azure لأتمتة البنية التحتية للتسجيل وتوسيع نطاقها.

سواء كنت تقوم بإعداد بيئة اختبار سريعة أو وضع الأساس لنشر الإنتاج، تساعد هذه الخطوات على ضمان تدفق سجلاتك بشكل موثوق إلى Microsoft Sentinel حتى لو لم تكن «شخصًا يعمل بنظام Linux».

‍

سجل النظام عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel

يجمع موصل بيانات Syslog عبر AMA في Microsoft Sentinel السجلات من العديد من أجهزة وأجهزة الأمان. تسرد هذه المقالة تعليمات التثبيت التي يوفرها الموفر لأجهزة أمان محددة وأجهزة تستخدم موصل البيانات هذا. اتصل بموفر الخدمة للحصول على تحديثات أو مزيد من المعلومات أو عندما تكون المعلومات غير متوفرة لجهاز أو جهاز الأمان الخاص بك.

لإعادة توجيه البيانات إلى مساحة عمل تحليلات السجلات لـ Microsoft Sentinel، أكمل الخطوات في إدخال سجل النظام ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor. عند إكمال هذه الخطوات، قم بتثبيت Syslog عبر موصل بيانات AMA في Microsoft Sentinel. بعد ذلك، استخدم تعليمات الموفر المناسب في هذه المقالة لإكمال الإعداد.

لمزيد من المعلومات حول حل Microsoft Sentinel ذي الصلة لكل من هذه الأجهزة أو الأجهزة، ابحث في Azure Marketplace عن نوع المنتج > قوالب الحلول أو راجع الحل من مركز المحتوى في Microsoft Sentinel.

هام

قد تظل الحلول المقدمة من موردي الجهات الخارجية تشير إلى موصل وكيل Log Analytics الذي تم إيقافه. لا يتم دعم هذه الموصلات لعمليات النشر الجديدة. يمكنك الاستمرار في استخدام نفس الحلول مع Syslog عبر موصل بيانات AMA بدلاً من ذلك.

جدار حماية باراكودا كلاودجين

اتبع التعليمات لتكوين بث syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Microsoft Sentinel لعنوان IP للوجهة.

بلاك بيري سيلانس بروتكت

اتبع هذه التعليمات لتكوين CylanceProtect لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

البنية الأساسية المرتكزة على تطبيقات Cisco (ACI)

قم بتكوين نظام Cisco ACI لإرسال السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت الوكيل. اتبع هذه الخطوات لتكوين وجهة سجل النظام ومجموعة الوجهة ومصدر سجل النظام.

تم تطوير موصل البيانات هذا باستخدام الإصدار 1.x من Cisco ACI.

محرك خدمات الهوية من Cisco (ISE)

اتبع هذه التعليمات لتكوين مواقع تجميع سجلات النظام عن بُعد في نشر Cisco ISE الخاص بك.

ساعة سيسكو ستيلثواتش

أكمل خطوات التكوين التالية للحصول على سجلات Cisco Stealthwatch في Microsoft Sentinel.

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC) كمسؤول.

2. في شريط القوائم، حدد التكوين > إدارة الاستجابة.

3. من قسم الإجراءات في قائمة إدارة الاستجابة، حدد إضافة > رسالة Syslog.

4. في نافذة «إجراء إضافة رسالة Syslog»، قم بتكوين المعلمات.

5. أدخل التنسيق المخصص التالي:

| لانكوب | ساعة التخفي | 7.3 | {معرف نوع التنبيه} |0x7C | src= {source_ip} |dst= {target_ip} |منفذ DST= {المنفذ} |proto= {بروتوكول} |msg= {وصف نوع التنبيه} |الرسالة الكاملة = {التفاصيل} |البداية = {وقت التشغيل_النشط} |النهاية = {إنهاء_الوقت_النشط} |cat= {وقت التشغيل_النشط} |cat= {وقت التشغيل_النشط} اسم فئة التنبيه} | معرف المنبه = {معرف المنبه} | المصدر HG= {أسماء مجموعات المضيف_المصدر} | اسم مجمع المضيف= {أسماء مجموعات المضيف_المستهدفة} | لقطة مضيف المصدر = {source_url} | لقطة المضيف المستهدف = {target_url} | اسم مجمّع التدفق = {اسم الجهاز} | عنوان IP الخاص بمجمع التدفق = {device_ip} | domain= {اسم النطاق}} | اسم المصدّر = {المصدر_اسم المضيف} |عنوان IP للمصدّر = {exporter_ip} |معلومات المصدّر = {exporter_label} | المستخدم المستهدف = {target_username} | اسم المضيف المستهدف = {target_hostname} | مستخدم المصدر = {اسم المستخدم المصدر} | حالة التنبيه = {حالة الإنذار} | alarmeV = {اسم شدة الإنذار}

6. حدد التنسيق المخصص من القائمة ثم موافق.

7. حدد إدارة الاستجابة > القواعد.

8. حدد إضافة منبه واستضافته.

9. قم بتوفير اسم قاعدة في حقل الاسم.

10. قم بإنشاء القواعد عن طريق تحديد القيم من قوائم النوع والخيارات. لإضافة المزيد من القواعد، حدد رمز علامة الحذف. بالنسبة إلى منبه المضيف، ادمج أكبر عدد ممكن من الأنواع في بيان قدر الإمكان.

تم تطوير موصل البيانات هذا باستخدام إصدار Cisco Stealthwatch 7.3.2

أنظمة الحوسبة الموحدة من Cisco (UCS)

اتبع هذه التعليمات لتكوين Cisco UCS لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار CiscoUCS. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

جهاز أمان الويب من Cisco (WSA)

قم بتكوين Cisco لإعادة توجيه السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت الوكيل. اتبع هذه الخطوات لتكوين Cisco WSA لإعادة توجيه السجلات عبر Syslog

حدد Syslog Push كطريقة استرداد.

تم تطوير موصل البيانات هذا باستخدام AsyncoS 14.0 لجهاز أمان الويب من Cisco

‍

وحدة التحكم في تسليم تطبيقات Citrix (ADC)

قم بتكوين Citrix ADC (NetScaler سابقًا) لإعادة توجيه السجلات عبر Syslog.

1. انتقل إلى علامة تبويب التكوين > النظام > التدقيق > سجل النظام > علامة تبويب الخوادم

2. حدد اسم إجراء Syslog.

3. قم بتعيين عنوان IP لخادم Syslog البعيد والمنفذ.

4. قم بتعيين نوع النقل كـ TCP أو UDP بناءً على تكوين خادم سجل النظام البعيد.

لمزيد من المعلومات، راجع وثائق Citrix ADC (NetScaler سابقًا).

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل. للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار CitrixADcEvent. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

يتطلب هذا المحلل قائمة مراقبة باسم Sources_by_sourceType.

i. إذا لم تكن لديك قائمة مراقبة تم إنشاؤها بالفعل، فقم بإنشاء قائمة مراقبة من Microsoft Sentinel في بوابة Azure.

ثانيا. افتح قائمة المراقبة Sources_by_sourceType وأضف إدخالات لمصدر البيانات هذا.

ثانيا. قيمة نوع المصدر لسيتريكسادك هي سيتريكسادك. لمزيد من المعلومات، راجع إدارة موزعي نماذج معلومات الأمان المتقدمة (ASIM).

‍

منع فقدان بيانات Digital Guardian

أكمل الخطوات التالية لتكوين Digital Guardian لإعادة توجيه السجلات عبر Syslog:

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Digital Guardian.

2. حدد مساحة العمل > تصدير البيانات > إنشاء تصدير.

3. من قائمة مصادر البيانات، حدد التنبيهات أو الأحداث كمصدر للبيانات.

4. من قائمة أنواع التصدير، حدد Syslog.

5. من قائمة النوع، حدد UDP أو TCP كبروتوكول النقل.

6. في حقل الخادم، اكتب عنوان IP لخادم syslog البعيد.

7. في حقل المنفذ، اكتب 514 (أو منفذ آخر إذا تم تكوين خادم syslog لاستخدام منفذ غير افتراضي).

8. من قائمة مستوى الخطورة، حدد مستوى الخطورة.

9. حدد خانة الاختيار هل هي نشطة.

10. حدد التالي.

11. من قائمة الحقول المتاحة، أضف حقول التنبيه أو الأحداث لتصدير البيانات.

12. حدد معايير الحقول في تصدير البيانات والتالي.

13. حدد مجموعة للمعايير والتالي.

14. حدد استعلام الاختبار.

15. حدد التالي.

16. احفظ تصدير البيانات.

‍

تكامل إسيت بروتكت

قم بتكوين ESET PROTECT لإرسال جميع الأحداث من خلال سجل النظام.

1. اتبع هذه التعليمات لتكوين إخراج syslog. تأكد من تحديد BSD كتنسيق و TCP كوسيلة نقل.

2. اتبع هذه التعليمات لتصدير جميع السجلات إلى syslog. حدد JSON كتنسيق الإخراج.

‍

تحليلات Exabeam المتقدمة

اتبع هذه التعليمات لإرسال بيانات سجل نشاط Exabeam Advanced Analytics عبر سجل النظام.

تم تطوير موصل البيانات هذا باستخدام Exabeam Advanced Analytics i54 (سجل النظام)

‍

التنبؤ

أكمل الخطوات التالية للحصول على سجلات Forescout في Microsoft Sentinel.

1. حدد جهازًا لتكوينه.

2. اتبع هذه التعليمات لإعادة توجيه التنبيهات من منصة Forescout إلى خادم syslog.

3. قم بتكوين الإعدادات في علامة تبويب مشغلات Syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار البرنامج المساعد Forescout Syslog: v3.6

‍

جيتلاب

اتبع هذه التعليمات لإرسال بيانات سجل تدقيق Gitlab عبر syslog.

‍

إيسك بيند

1. اتبع هذه التعليمات لتكوين ISC Bind لإعادة توجيه سجل النظام: سجلات DNS.

2. قم بتكوين سجل النظام لإرسال حركة مرور سجل النظام إلى الوكيل. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

‍

نظام تشغيل هوية شبكة Infoblox (NIOS)

اتبع هذه التعليمات لتمكين إعادة توجيه سجل النظام لسجلات Infoblox NIOS. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار Infoblox. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

يتطلب هذا المحلل قائمة مراقبة باسم Sources_by_sourceType.

i. إذا لم تكن لديك قائمة مراقبة تم إنشاؤها بالفعل، فقم بإنشاء قائمة مراقبة من Microsoft Sentinel في بوابة Azure.

ثانيا. افتح قائمة المراقبة Sources_by_sourceType وأضف إدخالات لمصدر البيانات هذا.

ثانيا. قيمة نوع المصدر لـ InfoBloxnios هي InfoBloxnios.

لمزيد من المعلومات، راجع إدارة موزعي نماذج معلومات الأمان المتقدمة (ASIM).

‍

إدارة نقاط النهاية الموحدة من Ivanti

اتبع التعليمات لإعداد إجراءات التنبيه لإرسال السجلات إلى خادم syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار إدارة نقاط النهاية الموحدة من Ivanti 2021.1 الإصدار 11.0.3.374

‍

جونيبر إس آر إكس

1. أكمل التعليمات التالية لتكوين Juniper SRX لإعادة توجيه سجل النظام:

• سجلات حركة المرور (سجلات سياسة الأمان)

• سجلات النظام

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

‍

منصة McAfee لأمن الشبكات

أكمل خطوات التكوين التالية للحصول على سجلات منصة McAfee® Network Security Platform إلى Microsoft Sentinel.

1. قم بإعادة توجيه التنبيهات من المدير إلى خادم syslog.

2. يجب إضافة ملف تعريف إعلام syslog. أثناء إنشاء ملف تعريف، للتأكد من تنسيق الأحداث بشكل صحيح، أدخل النص التالي في مربع نص الرسالة:

تم تطوير موصل البيانات هذا باستخدام إصدار منصة McAfee® Network Security Platform: 10.1.x.

‍

منسق السياسة الإلكترونية في مكافي

اتصل بالموفر للحصول على إرشادات حول كيفية تسجيل خادم syslog.

‍

ميكروسوفت سايمون لينوكس

يعتمد موصل البيانات هذا على موزعي ASIM استنادًا إلى وظائف Kusto للعمل بالشكل المتوقع. انشر المحللين.

يتم نشر الوظائف التالية:

• حدث ملف VIM تم إنشاء ملف Linux Syson، حدث ملف VIM تم حذف ملف Linux Sysmon

• إنشاء عملية VIM لنظام التشغيل Linux، إنهاء معالج VIM نظام التشغيل Linux

• جلسة شبكة VIM لنظام التشغيل Linux SysMon

‍

ناسوني

اتبع التعليمات الواردة في دليل وحدة تحكم إدارة Nasuni لتكوين أجهزة Nasuni Edge لإعادة توجيه أحداث سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux الذي يقوم بتشغيل Azure Monitor Agent في حقل تكوين الخوادم لإعدادات سجل النظام.

‍

أوبن في بي إن

قم بتثبيت الوكيل على الخادم حيث تتم إعادة توجيه OpenVPN. تتم كتابة سجلات خادم OpenVPN في ملف سجل النظام الشائع (اعتمادًا على توزيع Linux المستخدم: على سبيل المثال /var/log/messages).

‍

تدقيق قاعدة بيانات Oracle

أكمل الخطوات التالية.

1. قم بإنشاء قاعدة بيانات Oracle اتبع هذه الخطوات.

2. قم بتسجيل الدخول إلى قاعدة بيانات Oracle التي أنشأتها. اتبع هذه الخطوات.

3. قم بتمكين التسجيل الموحد عبر سجل النظام عن طريق تغيير النظام لتمكين التسجيل الموحد باتباع هذه الخطوات.

4. إنشاء سياسة تدقيق وتمكينها للتدقيق الموحد اتبع هذه الخطوات.

5. تمكين سجل النظام ولقطات عارض الأحداث لمسار التدقيق الموحد اتبع هذه الخطوات.

‍

بلس كونيكت سكيور

اتبع التعليمات لتمكين بث سجل النظام لسجلات Pulse Connect Secure. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار PulseConnectSecure. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

آر إس إيه سيكوريد

أكمل الخطوات التالية للحصول على سجلات إدارة مصادقة RSA® SecurID في Microsoft Sentinel. اتبع هذه التعليمات لإعادة توجيه التنبيهات من المدير إلى خادم syslog.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار RSASecuridamEvent. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

تم تطوير موصل البيانات هذا باستخدام إصدار إدارة مصادقة RSA SecurID: 8.4 و 8.5

‍

جدار حماية سوفوس إكس جي

اتبع هذه التعليمات لتمكين بث syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل. للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SophosXGFirewall. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

حماية نقطة النهاية من Symantec

اتبع هذه التعليمات لتكوين حماية Symantec Endpoint لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل. للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecendPointProtection. بدلاً من ذلك، يمكنك تحميل رمز الوظيفة مباشرة. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

سيمانتيك بروكسي إس جي

1. قم بتسجيل الدخول إلى وحدة تحكم إدارة Blue Coat.

2. حدد التكوين > تسجيل الوصول > التنسيقات.

3. حدد جديد.

4. أدخل اسمًا فريدًا في حقل اسم التنسيق.

5. حدد زر الاختيار لسلسلة التنسيق المخصص والصق السلسلة التالية في الحقل.

1$ (التاريخ) $ (الوقت المستغرق) $ (الوقت المستغرق) $ (cs-ip) $ (cs-userdn) $ (cs-auth-groups) $ (x-excuption -id) $ (sc-filter-result) $ (cs-categories) $ (cs (المرجع) $ (sc-status) $ (s-status) $ (s-action) $ (طريقة cs-method) $ (quot) $ (s- status) $ (s-action) $ (طريقة cs-method) $ (quot) $ (نوع المحتوى)) $ (quot) $ (مخطط cs-uri) $ (cs-host) $ (cs-uri-port) $ (cs-uri-path) $ (cs-uri-query) $ (cs-uri-extension) $ (cs (وكيل المستخدم)) $ (s-ip) $ (s-ip) $ (sr-bytes) $ (rs-bytes) $ (x-virus-id)) $ (x-bluecoat-اسم التطبيق) $ (x-bluecoat-تشغيل التطبيق) $ (cs-uri-port) $ (x-cs-client-ip-country) $ (cs-threat-risk)

6. حدد موافق.

7. حدد Applyn.

8. اتبع هذه التعليمات لتمكين بث سجل النظام لسجلات Access. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل تحليلات السجل، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecProxysG. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

سيمانتيك VIP

اتبع هذه التعليمات لتكوين بوابة Symantec VIP للمؤسسات لإعادة توجيه سجل النظام. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار SymantecVIP. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

برنامج VMware ESXi

1. اتبع هذه التعليمات لتكوين VMware ESXi لإعادة توجيه سجل النظام:

• برنامج VMware ESXi 5.0+

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت وكيل Linux كعنوان IP للوجهة.

ملاحظة

تعتمد وظيفة موصل البيانات هذا على المحلل اللغوي المستند إلى Kusto Function، والذي يعد جزءًا لا يتجزأ من تشغيله. يتم نشر هذا المحلل كجزء من تثبيت الحل.

قم بتحديث المحلل اللغوي وحدد اسم المضيف لأجهزة المصدر التي تنقل السجلات في السطر الأول للمحلل.

للوصول إلى رمز الوظيفة داخل Log Analytics، انتقل إلى قسم تحليلات السجل/سجلات Microsoft Sentinel، وحدد الوظائف، وابحث عن الاسم المستعار VMwareESXi. بدلاً من ذلك، قم بتحميل رمز الوظيفة مباشرةً. قد يستغرق التحديث حوالي 15 دقيقة بعد التثبيت. على الرغم من أن الحل يشير إلى موصل عامل Log Analytics الذي تم إيقافه، يمكنك الاستمرار في استخدام نفس الحل، بما في ذلك المحلل اللغوي المشار إليه، مع موصل بيانات Syslog عبر AMA بدلاً من ذلك.

‍

واتش جارد فايربوكس

اتبع هذه التعليمات لإرسال بيانات سجل WatchGuard Firebox عبر سجل النظام.

‍

اتصل بنا.

ثق، ولكن تحقق!

تكون إدارة بيانات أمان Microsoft أكثر أمانًا عند المرور عبر بوابة SecQube.

‍

اتصل بنا.

ثق، ولكن تحقق!

تكون إدارة بيانات أمان Microsoft أكثر أمانًا عند المرور عبر بوابة SecQube.‍

إعدادات ملفات تعريف الارتباط

نحن نقدر خصوصيتك

تكون إدارة بيانات أمان Microsoft أكثر أمانًا عند المرور عبر بوابة SecQube.

‍