Microsoft Sentinel 用 MongoDB Audit コネクタ

  • [アーティクル]

MongoDB データ コネクタには、MongoDBAudit を Microsoft Sentinel に取り込む機能が用意されています。 詳細については MongoDB のドキュメントを参照してください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル MongoDBAudit_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

MongoDBAudit - すべてのアクティビティ。

MongoDBAudit

| sort by TimeGenerated desc

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel Logs](Log Analytics/Microsoft Sentinel ログ) ブレードを開き、[関数] をクリックしてエイリアス MongoDBAudit を検索し、関数コードを読み込むか、こちらをクリックします。クエリの 2 行目で、MongoDBAudit デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux または Windows 用エージェントをインストールおよびオンボードする

ログが生成される Tomcat サーバーにエージェントをインストールします。

Linux または Windows サーバー上にデプロイされた MongoDB Enterprise Server のログが、Linux または Windows エージェントによって収集されます。

  1. ファイルにログを書き込むように MongoDBAudit を構成する

ファイルにログを書き込むように mongod.conf ファイル (Linux の場合) または mongod.cfg (Windows の場合) を次のように編集します。

dbPath: data/db

path: data/db/auditLog.json

dbPathpath というパラメーターを設定します。 詳細については、MongoDB のドキュメントを参照してください

  1. 収集するログを構成する

収集するカスタム ログ ディレクトリを構成します

  1. 上のリンクを選び、ワークスペースの詳細設定を開きます
  2. 左側のペインで [設定] を選択し、[カスタム ログ] を選択して、[+ カスタム ログの追加] をクリックします
  3. [参照] をクリックして、MongoDBAudit ログ ファイルのサンプルをアップロードします。 次に、[次へ >] をクリックします
  4. レコード区切り記号として [タイムスタンプ] を選択し、[次へ >] をクリックします
  5. [Windows] または [Linux] を選択し、構成に基づいて MongoDBAudit ログへのパスを入力します
  6. パスを入力した後、'+' 記号をクリックして適用し、[次へ >] をクリックします
  7. MongoDBAudit をカスタム ログ名として追加し ('_CL' サフィックスが自動的に追加されます)、[完了] をクリックします。

接続の検証

Microsoft Sentinel にログが表示され始めるまでに、最大 20 分かかる場合があります。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。