Microsoft Sentinel 用 Citrix ADC (旧称 NetScaler) コネクタ
Citrix ADC (旧称 NetScaler) データ コネクタによって、Citrix ADC ログを Microsoft Sentinel に取り込む機能が提供されます。 Citrix WAF ログを Microsoft Sentinel に取り込む場合は、このドキュメントを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | syslog |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 個のイベントの種類
CitrixADCEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
ベンダーのインストール手順
注意
- このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックしてエイリアス CitrixADCEvent を検索し、関数コードを読み込むか、ここをクリックします。この関数は、Citrix ADC (旧 NetScaler) のイベントを Advanced Security Information Model (ASIM) にマップします。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- このパーサーには、フィールド
Sources_by_SourceTypeという名前のウォッチリストが必要です
i. ウォッチリストがまだ作成されていない場合は、 ここ をクリックして作成してください。
ii. ウォッチリスト
Sources_by_SourceTypeを開き、このデータ ソースのエントリを追加します。
iii. CitrixADC の SourceType 値は
CitrixADCです。
詳細については、この ドキュメントを参照してください
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
Syslog 経由でログを転送するように Citrix ADC を構成します
3.1 [Configuration] (構成) タブ > [System] (システム) > [Auditing] (監査) > [Syslog] > [Servers] (サーバー) タブに移動します
3.2 Syslog アクション名を指定します。
3.3 リモート Syslog サーバーとポートの IP アドレスを設定します。
3.4 リモート Syslog サーバーの構成に応じて、[Transport type] (トランスポートの種類) を TCP または UDP に設定します。
3.5 詳細については、Citrix ADC (旧 NetScaler) のドキュメントを参照してください。
- Microsoft Sentinel でログを確認する
Log Analytics を開き、Syslog スキーマを使用してログが受信されているかどうかを確認します。
注: Syslog テーブルに新しいログが表示されるまでに最大 15 分かかる場合があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。