Microsoft Sentinel 用 VMware vCenter コネクタ
vCenter コネクタを使用すると、vCenter サーバー のログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のデータ センターに関するより詳細な分析情報が得られて、セキュリティ運用機能が向上します。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | vCenter_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
イベントの種類別のイベントの合計
vCenter
| summarize count() by EventType
vCenter Server に対するログイン/ログアウト
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
ベンダーのインストール手順
メモ: このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 VMware vCenter を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で VMware vCenter デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- ContentHub から vCenter ソリューションをインストールしていない場合は、Kusto 関数エイリアス vCenter を使用する手順に従います
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
次の構成手順に従って、vCenter サーバー ログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 vCenter Server ログでは、OMS エージェント データが既定の設定を使用してデータを解析する間に問題が発生します。 そのため、カスタム テーブル vCenter_CL にログを取り込むには以下の手順を使用することをお勧めします。
OMS エージェントをインストールしたサーバーにログインします。
次のコマンドを実行して、構成ファイル vCenter.conf をダウンロードします。wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf
次のコマンドを実行して、vcenter.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
次のように vcenter.conf を編集します。
a. vcenter.conf は、既定でポート 22033 を使用します。 このポートがサーバー上の他のソースで使用されていないことを確認します
b. vcenter.conf の既定のポートを変更する場合は、既定の Azure 監視/ログ分析エージェント ポート (たとえば、CEF は TCP ポート 25226 または 25224 を使用) を使用しないようにしてください
c. workspace_id を実際のワークスペース ID の値に置き換えます (13、14、15、18 行め)
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します。sudo /opt/microsoft/omsagent/bin/service_control restart
/etc/rsyslog.conf ファイルを変更して、次のテンプレートをディレクティブ セクションの前、できれば先頭に追加します。$template vcenter,"%timestamp% %hostname% %msg%\n"
/etc/rsyslog.d/ にカスタム conf ファイル (例: 10-vcenter.conf) を作成し、次のフィルター条件を追加します。
ステートメントを追加したら、カスタム テーブルに転送する vcenter サーバーのログを指定するフィルターを作成する必要があります。
参照: フィルター条件 — rsyslog 8.18.0.master のドキュメント
定義できるフィルター処理の例を次に示します。これは完成していないため、インストールごとに追加のテストが必要になります。 $rawmsgに "vcenter-server" が含まれている場合は @@127.0.0.1:22033;vcenter & $rawmsgに "vpxd" が含まれている場合は停止し、@@127.0.0.1:22033;vcenter & stop
次のコマンドを実行して、rsyslog を再起動します。systemctl restart rsyslog
vCenter デバイスを構成して接続します
こちらの手順に従って、Syslog を転送するように vCenter を構成します。 宛先 IP アドレスとして、Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。