Squid Proxy-connector voor Microsoft Sentinel
Met de Squid Proxy-connector kunt u eenvoudig uw Squid Proxy-logboeken verbinden met Microsoft Sentinel. Zo krijgt u meer inzicht in het netwerkproxyverkeer van uw organisatie en verbetert u de mogelijkheden voor beveiliging.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Log Analytics-tabellen | SquidProxy_CL |
Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 proxyresultaten
SquidProxy
| where isnotempty(ResultCode)
| summarize count() by ResultCode
| top 10 by count_
Top 10 peerhost
SquidProxy
| where isnotempty(PeerHost)
| summarize count() by PeerHost
| top 10 by count_
Installatie-instructies van leverancier
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u de alias Squid Proxy en laadt u de functiecode. Klik hier op de tweede regel van de query en voer de hostnaam(s) van uw SquidProxy-apparaat(en) en andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.
- De agent voor Linux of Windows installeren en onboarden
Installeer de agent op de Squid Proxy-server waar de logboeken worden gegenereerd.
Logboeken van de inktvisproxy die op Linux- of Windows-servers zijn geïmplementeerd, worden verzameld door Linux- of Windows-agents.
- De logboeken configureren die moeten worden verzameld
De aangepaste logboekmap configureren die moet worden verzameld
- Selecteer de bovenstaande koppeling om geavanceerde instellingen voor uw werkruimte te openen
- Selecteer in het linkerdeelvenster Gegevens, selecteer Aangepaste logboeken en klik op Toevoegen+
- Klik op Bladeren om een voorbeeld van een Squid Proxy-logboekbestand (bijvoorbeeld access.log of cache.log) te uploaden. Klik vervolgens op Volgende >
- Selecteer Nieuwe regel als het scheidingsteken voor records en klik op Volgende >
- Selecteer Windows of Linux en voer het pad naar Squid Proxy-logboeken in. Standaardpaden zijn:
- Windows-map :
C:\Squid\var\log\squid\*.log
- Linux-map :
/var/log/squid/*.log
- Nadat u het pad hebt ingevoerd, klikt u op het symbool +om toe te passen en klikt u vervolgens op Volgende >
- Voeg SquidProxy_CL toe als de aangepaste logboeknaam en klik op Gereed
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.