Microsoft Sentinel 用 VMware vCenter コネクタ

  • [アーティクル]

vCenter コネクタを使用すると、vCenter サーバー のログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のデータ センターに関するより詳細な分析情報が得られて、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル vCenter_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

イベントの種類別のイベントの合計

vCenter 

| summarize count() by EventType

vCenter Server に対するログイン/ログアウト

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

ベンダーのインストール手順

メモ: このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 VMware vCenter を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で VMware vCenter デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. ContentHub から vCenter ソリューションをインストールしていない場合は、Kusto 関数エイリアス vCenter を使用する手順に従います
  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

次の構成手順に従って、vCenter サーバー ログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 vCenter Server ログでは、OMS エージェント データが既定の設定を使用してデータを解析する間に問題が発生します。 そのため、カスタム テーブル vCenter_CL にログを取り込むには以下の手順を使用することをお勧めします。

  1. OMS エージェントをインストールしたサーバーにログインします。

  2. 次のコマンドを実行して、構成ファイル vCenter.conf をダウンロードします。wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. 次のコマンドを実行して、vcenter.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 次のように vcenter.conf を編集します。

    a. vcenter.conf は、既定でポート 22033 を使用します。 このポートがサーバー上の他のソースで使用されていないことを確認します

    b. vcenter.conf の既定のポートを変更する場合は、既定の Azure 監視/ログ分析エージェント ポート (たとえば、CEF は TCP ポート 25226 または 25224 を使用) を使用しないようにしてください

    c. workspace_id を実際のワークスペース ID の値に置き換えます (13、14、15、18 行め)

  5. 変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します。sudo /opt/microsoft/omsagent/bin/service_control restart

  6. /etc/rsyslog.conf ファイルを変更して、次のテンプレートをディレクティブ セクションの前、できれば先頭に追加します。$template vcenter,"%timestamp% %hostname% %msg%\n"

  7. /etc/rsyslog.d/ にカスタム conf ファイル (例: 10-vcenter.conf) を作成し、次のフィルター条件を追加します。

    ステートメントを追加したら、カスタム テーブルに転送する vcenter サーバーのログを指定するフィルターを作成する必要があります。

    参照: フィルター条件 — rsyslog 8.18.0.master のドキュメント

    定義できるフィルター処理の例を次に示します。これは完成していないため、インストールごとに追加のテストが必要になります。 $rawmsgに "vcenter-server" が含まれている場合は @@127.0.0.1:22033;vcenter & $rawmsgに "vpxd" が含まれている場合は停止し、@@127.0.0.1:22033;vcenter & stop

  8. 次のコマンドを実行して、rsyslog を再起動します。systemctl restart rsyslog

  9. vCenter デバイスを構成して接続します

こちらの手順に従って、Syslog を転送するように vCenter を構成します。 宛先 IP アドレスとして、Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。