قم بتوصيل الحل الخارجي الخاص بك باستخدام موصل تنسيق الحدث المشترك

  • 5 دقائق

تحتاج إلى تعيين جهاز Linux وتكوينه لإعادة توجيه السجلات من حل الأمان الخاص بك إلى مساحة عمل Microsoft Sentinel. يمكن أن يكون هذا الجهاز فعليًا أو ظاهريًا في البيئة المحلية الخاصة بك، أو الجهاز الظاهري لـ Azure، أو الجهاز الظاهري في سحابة أخرى. باستخدام الرابط المُقدَّم، ستشغل برنامج نصي على الجهاز المُحدد الذي يؤدي المهام التالية:

تثبيت عامل Log Analytics لنظام Linux (المعروف أيضاً باسم عامل OMS) وتهيئته للأغراض التالية:

  • الإنصات إلى رسائل تنسيق الحدث المشترك من البرنامج الخفي لـ Linux Syslog المدمج على منفذ TCP 25226

  • إرسال الرسائل بأمانٍ عبر بروتوكول أمان طبقة النقل إلى مساحة العمل Microsoft Sentinel، حيث يتم توزيعها وإثرائها

لتكوين البرنامج الخفي المدمج في Linux Syslog (rsyslog.d/syslog-ng) للأغراض التالية:

  • الإنصات لرسائل Syslog من حلول الأمان الخاصة بك على منفذ TCP 514

  • إعادة توجيه الرسائل التي يحددها فقط على أنها تنسيق الحدث المشترك إلى وكيل Log Analytics على المضيف المحلي باستخدام منفذ TCP 25226

تشغيل البرنامج النصي للتوزيع

لعرض صفحة الموصل:

  1. حدد صفحة Data connectors.

  2. حدد تنسيق الحدث المشترك.

  3. حدد صفحة Open connector في جزء المعاينة.

  4. تحقق من أن لديك الأذونات المناسبة كما هو موضح ضمن المتطلبات المسبقة.

  5. انسخ الأمر "sudo wget…" وقم بتشغيله بأذونات عالية المستوى على جهاز Linux الظاهري المخصص.

Screenshot of the C E F Connector Page.

استخدام نفس الجهاز لإعادة توجيه كل من Syslog العادي ورسائل تنسيق الحدث الشائعة

إذا كنت تخطط لاستخدام جهاز إعادة توجيه السجلات لإعادة توجيه رسائل Syslog كتنسيق الحدث المشترك، فتجنب تكرار الأحداث في جدولي Syslog وCommonSecurityLog:

على كل جهاز مصدر يرسل السجلات إلى معيد التوجيه بتنسيق الحدث المشترك، يجب عليك تحرير ملف تكوين Syslog لإزالة التسهيلات المستخدمة لإرسال رسائل تنسيق الحدث المشترك.