Microsoft Sentinel 用 MarkLogic Audit コネクタ

  • [アーティクル]

MarkLogic データ コネクタには、MarkLogicAudit ログを Microsoft Sentinel に取り込む機能が用意されています。 詳細については、MarkLogic のドキュメントを参照してください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル MarkLogicAudit_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

MarkLogicAudit - すべてのアクティビティ。

MarkLogicAudit_CL

| sort by TimeGenerated desc

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックし、エイリアス MarkLogicAudit を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目で、MarkLogicAudit デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux または Windows 用エージェントをインストールおよびオンボードする

ログが生成される Tomcat サーバーにエージェントをインストールします。

Linux または Windows サーバー上にデプロイされた MarkLogic サーバーからのログは、Linux または Windows エージェントによって収集されます。

  1. 監査を有効にするように MarkLogicAudit を構成する

グループの監査を有効にするには、次の手順を実行します。

ブラウザーを使用して管理インターフェイスにアクセスします。

[Audit Configuration] (監査構成) 画面 ([グループ] > [group_name] > [監査]) を開きます。

[監査が有効] ラジオ ボタンで [True] を選択します。

必要な監査イベントや監査制限を構成します。

[OK] をクリックします。

詳細については、MarkLogic のドキュメントを参照してください

  1. 収集するログを構成する

収集するカスタム ログ ディレクトリを構成します

  1. 上のリンクを選び、ワークスペースの詳細設定を開きます
  2. 左側のペインで [設定] を選択し、[カスタム ログ] を選択して、[+ カスタム ログの追加] をクリックします
  3. [参照] をクリックして、MarkLogicAudit ログ ファイルのサンプルをアップロードします。 その後、[次へ >] をクリックします
  4. レコード区切り記号として [タイムスタンプ] を選択し、[次へ >] をクリックします
  5. [Windows] または [Linux] を選択し、構成に基づいて MarkLogicAudit ログへのパスを入力します
  6. パスを入力した後、'+' 記号をクリックして適用し、[次へ >] をクリックします
  7. MarkLogicAudit をカスタム ログ名として追加し ('_CL' サフィックスが自動的に追加されます)、[完了] をクリックします。

接続の検証

Microsoft Sentinel にログが表示され始めるまでに、最大 20 分かかる場合があります。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。