Konektor VMware vCenter pro Microsoft Sentinel

  • Článek

Konektor vCenter umožňuje snadno připojit protokoly serveru vCenter k Microsoft Sentinelu. Získáte tak lepší přehled o datových centrech vaší organizace a zlepšíte možnosti operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics vCenter_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Celkový počet událostí podle typu události

vCenter 

| summarize count() by EventType

přihlášení/odhlášení k vCenter Serveru

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias VMware vCenter a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení VMware vCenter a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Pokud jste nenainstalovali řešení vCenter z ContentHubu, postupujte podle pokynů k použití aliasu funkce Kusto, vCenter.
  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Pokud chcete získat protokoly serveru vCenter do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. V protokolech vCenter Serveru máme problémy při analýze dat agenta OMS pomocí výchozího nastavení. Proto doporučujeme zaznamenávat protokoly do vlastní tabulky vCenter_CL pomocí následujících pokynů.

  1. Přihlaste se k serveru, na kterém jste nainstalovali agenta OMS.

  2. Stažení konfiguračního souboru vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Zkopírujte soubor vcenter.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Upravte soubor vcenter.conf následujícím způsobem:

    a. vcenter.conf používá ve výchozím nastavení port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.

    b. Pokud chcete změnit výchozí port pro vcenter.conf , ujistěte se, že nepoužíváte výchozí porty agenta Azure monotoring /loganalytic, například CEF používá port TCP 25226 nebo 25224.

    c. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 13 14 15 18).

  5. Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Upravte soubor /etc/rsyslog.conf – přidejte následující šablonu nejlépe na začátek / před oddíl direktiv $template vcenter,"%timestamp% %hostname% %msg%\n"

  7. Vytvořte vlastní soubor conf v souboru /etc/rsyslog.d/, například 10-vcenter.conf a přidejte následující podmínky filtru.

    S přidaným příkazem budete muset vytvořit filtr, který určí protokoly přicházející ze serveru vcenter, které se mají předávat do vlastní tabulky.

    reference: Podmínky filtru – rsyslog 8.18.0.master dokumentace

    Tady je příklad filtrování, které je možné definovat, to není dokončeno a bude vyžadovat další testování pro každou instalaci. Pokud $rawmsg obsahuje "vcenter-server", @@127.0.0.1:22033; Vcenter & zastavit, pokud $rawmsg obsahuje "vpxd", pak @@127.0.0.1:22033; vcenter & stop

  8. Restartování rsyslog systemctl restart rsyslog

  9. Konfigurace a připojení zařízení vCenter

Podle těchto pokynů nakonfigurujte vCenter pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.