Konektor MarkLogic Audit pro Microsoft Sentinel

  • Článek

Datový konektor MarkLogic poskytuje možnost ingestovat protokoly MarkLogicAudit do Služby Microsoft Sentinel. Další informace najdete v dokumentaci k MarkLogic.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics MarkLogicAudit_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

MarkLogicAudit - Všechny aktivity.

MarkLogicAudit_CL

| sort by TimeGenerated desc

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias MarkLogicAudit a načtěte kód funkce nebo klikněte sem na druhý řádek dotazu, zadejte názvy hostitelů zařízení MarkLogicAudit a další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server Tomcat, kde se generují protokoly.

Protokoly z MarkLogic Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Konfigurace MarkLogicAudit pro povolení auditování

Provedením následujících kroků povolte auditování pro skupinu:

Přístup k rozhraní Správa pomocí prohlížeče;

Otevřete obrazovku Konfigurace auditu (skupiny > group_name > auditování);

Vyberte True pro přepínač Povolit audit;

Nakonfigurujte všechny požadované události auditu nebo omezení auditu;

Klikněte na OK.

Další podrobnosti najdete v dokumentaci k MarkLogic.

  1. Konfigurace protokolů, které se mají shromažďovat

Konfigurace vlastního adresáře protokolu, který se má shromažďovat

  1. Výběrem výše uvedeného odkazu otevřete upřesňující nastavení pracovního prostoru.
  2. V levém podokně vyberte Nastavení, vyberte Vlastní protokoly a klikněte na +Přidat vlastní protokol.
  3. Kliknutím na Procházet nahrajete ukázku souboru protokolu MarkLogicAudit. Potom klikněte na Další. >
  4. Vyberte časové razítko jako oddělovač záznamů a klikněte na Další. >
  5. Vyberte Windows nebo Linux a zadejte cestu k protokolům MarkLogicAudit na základě vaší konfigurace.
  6. Po zadání cesty klikněte na symbol +, který chcete použít, a potom klikněte na Další. >
  7. Přidejte MarkLogicAudit jako vlastní název protokolu (přípona _CL se přidá automaticky) a klikněte na Hotovo.

Ověření možností připojení

Může to trvat až 20 minut, než se vaše protokoly začnou zobrazovat v Microsoft Sentinelu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.