Share via

Squid Proxy-connector voor Microsoft Sentinel

  • Artikel

Met de Squid Proxy-connector kunt u eenvoudig uw Squid Proxy-logboeken verbinden met Microsoft Sentinel. Zo krijgt u meer inzicht in het netwerkproxyverkeer van uw organisatie en verbetert u de mogelijkheden voor beveiliging.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen SquidProxy_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Microsoft Corporation

Voorbeelden van query's

Top 10 proxyresultaten

SquidProxy 

| where isnotempty(ResultCode) 

| summarize count() by ResultCode 

| top 10 by count_

Top 10 peerhost

SquidProxy 

| where isnotempty(PeerHost) 

| summarize count() by PeerHost 

| top 10 by count_

Installatie-instructies van leverancier

OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u de alias Squid Proxy en laadt u de functiecode. Klik hier op de tweede regel van de query en voer de hostnaam(s) van uw SquidProxy-apparaat(en) en andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.

  1. De agent voor Linux of Windows installeren en onboarden

Installeer de agent op de Squid Proxy-server waar de logboeken worden gegenereerd.

Logboeken van de inktvisproxy die op Linux- of Windows-servers zijn geïmplementeerd, worden verzameld door Linux- of Windows-agents.

  1. De logboeken configureren die moeten worden verzameld

De aangepaste logboekmap configureren die moet worden verzameld

  1. Selecteer de bovenstaande koppeling om geavanceerde instellingen voor uw werkruimte te openen
  2. Selecteer in het linkerdeelvenster Gegevens, selecteer Aangepaste logboeken en klik op Toevoegen+
  3. Klik op Bladeren om een voorbeeld van een Squid Proxy-logboekbestand (bijvoorbeeld access.log of cache.log) te uploaden. Klik vervolgens op Volgende >
  4. Selecteer Nieuwe regel als het scheidingsteken voor records en klik op Volgende >
  5. Selecteer Windows of Linux en voer het pad naar Squid Proxy-logboeken in. Standaardpaden zijn:
  • Windows-map : C:\Squid\var\log\squid\*.log
  • Linux-map : /var/log/squid/*.log
  1. Nadat u het pad hebt ingevoerd, klikt u op het symbool +om toe te passen en klikt u vervolgens op Volgende >
  2. Voeg SquidProxy_CL toe als de aangepaste logboeknaam en klik op Gereed

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.