Problemen met uw CEF- of Syslog-gegevensconnector oplossen

  • Artikel

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

In dit artikel worden algemene methoden beschreven voor het verifiëren en oplossen van problemen met een CEF- of Syslog-gegevensconnector voor Microsoft Sentinel.

Als uw logboeken bijvoorbeeld niet worden weergegeven in Microsoft Sentinel, hetzij in de Tabellen Syslog of Common Security Log, kan uw gegevensbron geen verbinding maken of kan er een andere reden zijn dat uw gegevens niet worden opgenomen.

Andere symptomen van een mislukte connectorimplementatie zijn onder andere wanneer de security_events.conf of de bestanden security-omsagent.config.conf ontbreken, of als de rsyslog-server niet luistert op poort 514.

Zie voor meer informatie Verbinding maken uw externe oplossing met behulp van Common Event Format en Gegevens verzamelen uit Linux-bronnen met behulp van Syslog.

Als u uw connector hebt geïmplementeerd met een andere methode dan de gedocumenteerde procedure en problemen ondervindt, raden we u aan de implementatie op te ruimen en opnieuw te installeren zoals gedocumenteerd.

In dit artikel leest u hoe u problemen met CEF- of Syslog-connectors kunt oplossen met de Log Analytics-agent. Voor informatie over het oplossen van problemen met betrekking tot het opnemen van CEF-logboeken via de Azure Monitor Agent (AMA), raadpleegt u de CEF (Common Event Format) via de instructies van de AMA-connector .

Belangrijk

Op 28 februari 2023 hebben we wijzigingen aangebracht in het CommonSecurityLog-tabelschema. Na deze wijziging moet u mogelijk aangepaste query's controleren en bijwerken. Zie de sectie aanbevolen acties in dit blogbericht voor meer informatie. Out-of-the-box-inhoud (detecties, opsporingsquery's, werkmappen, parsers, enzovoort) is bijgewerkt door Microsoft Sentinel.

Dit artikel gebruiken

Als informatie in dit artikel alleen relevant is voor Syslog of alleen voor CEF-connectors, hebben we de pagina ingedeeld in tabbladen. Zorg ervoor dat u de instructies op het juiste tabblad gebruikt voor het type connector.

Als u bijvoorbeeld problemen met een CEF-connector wilt oplossen, begint u met CEF-connectiviteit valideren. Als u problemen met een Syslog-connector wilt oplossen, begint u hieronder met de vereisten voor uw gegevensconnector controleren.

CEF-connectiviteit valideren

Nadat u de doorstuurserver voor logboeken hebt geïmplementeerd en uw beveiligingsoplossing hebt geconfigureerd om deze CEF-berichten te verzenden, gebruikt u de stappen in deze sectie om de connectiviteit tussen uw beveiligingsoplossing en Microsoft Sentinel te controleren.

Deze procedure is alleen relevant voor CEF-verbindingen en is niet relevant voor Syslog-verbindingen.

  1. Zorg ervoor dat u aan de volgende vereisten voldoet:

    • U moet verhoogde machtigingen (sudo) hebben op uw machine voor logboekstuurserver.

    • Python 2.7 of 3 moet zijn geïnstalleerd op uw machine voor logboekstuurserver. Gebruik de python --version opdracht om te controleren.

    • Mogelijk hebt u op een bepaald moment in dit proces de werkruimte-id en primaire sleutel van de werkruimte nodig. U vindt deze in de werkruimteresource, onder Agents-beheer.

  2. Open Logboeken in het navigatiemenu van Microsoft Sentinel. Voer een query uit met behulp van het CommonSecurityLog-schema om te zien of u logboeken van uw beveiligingsoplossing ontvangt.

    Het kan ongeveer 20 minuten duren voordat uw logboeken worden weergegeven in Log Analytics.

  3. Als u geen resultaten van de query ziet, controleert u of gebeurtenissen worden gegenereerd op basis van uw beveiligingsoplossing of probeert u een aantal te genereren en controleert u of deze worden doorgestuurd naar de syslog-doorstuurmachine die u hebt aangewezen.

  4. Voer het volgende script uit op de logboekstuurserver (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding) om de connectiviteit tussen uw beveiligingsoplossing, de doorstuurserver en Microsoft Sentinel te controleren. Met dit script wordt gecontroleerd of de daemon luistert op de juiste poorten, of het doorsturen juist is geconfigureerd en of er geen communicatie tussen de daemon en de Log Analytics-agent wordt geblokkeerd. Er worden ook mockberichten 'TestCommonEventFormat' verzonden om de end-to-end-connectiviteit te controleren. 

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

    • Mogelijk krijgt u een bericht waarin u wordt geleid om een opdracht uit te voeren om een probleem met de toewijzing van het veld Computer op te lossen. Zie de uitleg in het validatiescript voor meer informatie.

    • Mogelijk krijgt u een bericht met de opdracht om een opdracht uit te voeren om een probleem met het parseren van Cisco ASA-firewalllogboeken op te lossen. Zie de uitleg in het validatiescript voor meer informatie.

Uitleg van CEF-validatiescript

In de volgende sectie wordt het CEF-validatiescript beschreven voor de rsyslog-daemon en de syslog-ng-daemon.

rsyslog daemon

Voor een rsyslog-daemon voert het CEF-validatiescript de volgende controles uit:

  1. Controleert of het bestand
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    bestaat en is geldig.

  2. Controleert of het bestand de volgende tekst bevat:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Controleert of de parsering voor Cisco ASA Firewall-gebeurtenissen is geconfigureerd zoals verwacht, met behulp van de volgende opdracht:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Als er een probleem is met het parseren, wordt in het script een foutbericht weergegeven waarin u de volgende opdracht handmatig kunt uitvoeren (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding). De opdracht zorgt ervoor dat de juiste parsering en start de agent opnieuw op.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Controleert of het veld Computer in de syslog-bron correct is toegewezen in de Log Analytics-agent met behulp van de volgende opdracht:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Als er een probleem is met de toewijzing, wordt in het script een foutbericht weergegeven waarin u de volgende opdracht handmatig kunt uitvoeren (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding). De opdracht zorgt ervoor dat de juiste toewijzing wordt uitgevoerd en start de agent opnieuw op.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Controleert of er beveiligingsverbeteringen zijn op de computer die mogelijk netwerkverkeer blokkeert (zoals een hostfirewall).

  6. Controleert of de syslog-daemon (rsyslog) correct is geconfigureerd voor het verzenden van berichten (die worden aangeduid als CEF) naar de Log Analytics-agent op TCP-poort 25226:

    Configuratiebestand: /etc/rsyslog.d/security-config-omsagent.conf

    if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  7. Start de syslog-daemon en de Log Analytics-agent opnieuw op:

    service rsyslog restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Controleert of de benodigde verbindingen tot stand zijn gebracht: tcp 514 voor het ontvangen van gegevens, tcp 25226 voor interne communicatie tussen de syslog-daemon en de Log Analytics-agent:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Controleert of de syslog-daemon gegevens ontvangt op poort 514 en of de agent gegevens ontvangt op poort 25226:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. Verzendt MOCK-gegevens naar poort 514 op localhost. Deze gegevens moeten worden waargenomen in de Microsoft Sentinel-werkruimte door de volgende query uit te voeren:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

syslog-ng-daemon

Voor een syslog-ng-daemon voert het CEF-validatiescript de volgende controles uit:

  1. Controleert of het bestand
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    bestaat en is geldig.

  2. Controleert of het bestand de volgende tekst bevat:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Controleert of de parsering voor Cisco ASA Firewall-gebeurtenissen is geconfigureerd zoals verwacht, met behulp van de volgende opdracht:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Als er een probleem is met het parseren, wordt in het script een foutbericht weergegeven waarin u de volgende opdracht handmatig kunt uitvoeren (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding). De opdracht zorgt ervoor dat de juiste parsering en start de agent opnieuw op.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Controleert of het veld Computer in de syslog-bron correct is toegewezen in de Log Analytics-agent met behulp van de volgende opdracht:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Als er een probleem is met de toewijzing, wordt in het script een foutbericht weergegeven waarin u de volgende opdracht handmatig kunt uitvoeren (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding). De opdracht zorgt ervoor dat de juiste toewijzing wordt uitgevoerd en start de agent opnieuw op.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Controleert of er beveiligingsverbeteringen zijn op de computer die mogelijk netwerkverkeer blokkeert (zoals een hostfirewall).

  6. Controleert of de syslog-daemon (syslog-ng) correct is geconfigureerd om berichten te verzenden die als CEF (met behulp van een regex) worden geïdentificeerd naar de Log Analytics-agent op TCP-poort 25226:

    • Configuratiebestand: /etc/syslog-ng/conf.d/security-config-omsagent.conf

      filter f_oms_filter {match(\"CEF\|ASA\" ) ;};destination oms_destination {tcp(\"127.0.0.1\" port(25226));};
log {source(s_src);filter(f_oms_filter);destination(oms_destination);};

  7. Start de syslog-daemon en de Log Analytics-agent opnieuw op:

    service syslog-ng restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Controleert of de benodigde verbindingen tot stand zijn gebracht: tcp 514 voor het ontvangen van gegevens, tcp 25226 voor interne communicatie tussen de syslog-daemon en de Log Analytics-agent:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Controleert of de syslog-daemon gegevens ontvangt op poort 514 en of de agent gegevens ontvangt op poort 25226:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. Verzendt MOCK-gegevens naar poort 514 op localhost. Deze gegevens moeten worden waargenomen in de Microsoft Sentinel-werkruimte door de volgende query uit te voeren:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

Vereisten voor uw gegevensconnector controleren

Gebruik de volgende secties om de vereisten voor uw CEF- of Syslog-gegevensconnector te controleren.

Virtuele Azure-machine als CEF-collector

Als u een virtuele Azure-machine als CEF-collector gebruikt, controleert u het volgende:

  • Voordat u het Python-script Common Event Format Data Connector implementeert, moet u ervoor zorgen dat uw virtuele machine nog niet is verbonden met een bestaande Log Analytics-werkruimte. U vindt deze informatie in de lijst met virtuele machines van de Log Analytics-werkruimte, waarbij een virtuele machine die is verbonden met een Syslog-werkruimte wordt vermeld als Verbinding maken ed.

  • Zorg ervoor dat Microsoft Sentinel is verbonden met de juiste Log Analytics-werkruimte, waarbij de SecurityInsights-oplossing is geïnstalleerd.

    Zie stap 1: De doorstuurserver voor logboeken implementeren voor meer informatie.

  • Zorg ervoor dat de grootte van uw machine juist is met ten minste de minimaal vereiste vereisten. Zie CEF-vereisten voor meer informatie.

On-premises of een niet-Azure-VM

Als u een on-premises machine of een niet-Azure-VM voor uw gegevensconnector gebruikt, moet u ervoor zorgen dat u het installatiescript hebt uitgevoerd op een nieuwe installatie van een ondersteund Linux-besturingssysteem:

Tip

U kunt dit script ook vinden op de pagina Common Event Format-gegevensconnector in Microsoft Sentinel.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py <WorkspaceId> <Primary Key>

De CEF-faciliteit en de ernstverzameling van logboeken inschakelen

De Syslog-server, rsyslog of syslog-ng, stuurt alle gegevens die zijn gedefinieerd in het relevante configuratiebestand, automatisch ingevuld door de instellingen die zijn gedefinieerd in uw Log Analytics-werkruimte.

Zorg ervoor dat u details toevoegt over de faciliteiten en ernstlogboekniveaus die u wilt opnemen in Microsoft Sentinel. Het configuratieproces kan ongeveer 20 minuten duren.

Zie Implementatiescript uitgelegd voor meer informatie.

Voer bijvoorbeeld voor een rsyslog-server de volgende opdracht uit om de huidige instellingen voor het doorsturen van Syslog weer te geven en controleer eventuele wijzigingen in het configuratiebestand:

cat /etc/rsyslog.d/security-config-omsagent.conf

In dit geval moet voor rsyslog uitvoer die vergelijkbaar is met het volgende worden weergegeven:

if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

Problemen met besturingssystemen oplossen

In deze sectie wordt beschreven hoe u problemen oplost die zeker zijn afgeleid van de configuratie van het besturingssysteem.

Problemen met het besturingssysteem oplossen:

  1. Als u dat nog niet hebt gedaan, controleert u of u werkt met een ondersteund besturingssysteem en de Python-versie. Zie CEF-vereisten voor meer informatie.

  2. Als uw virtuele machine zich in Azure bevindt, controleert u of de netwerkbeveiligingsgroep (NSG) binnenkomende TCP/UDP-connectiviteit van uw logboekclient (afzender) op poort 514 toestaat.

  3. Controleer of pakketten binnenkomen bij de Syslog Collector. Als u de syslog-pakketten wilt vastleggen die binnenkomen bij de Syslog Collector, voert u het volgende uit:

    tcpdump -Ani any port 514 and host <ip_address_of_sender> -vv

  4. Voer een van de volgende stappen uit:

    • Als u geen pakketten ziet die binnenkomen, bevestigt u de machtigingen van de NSG-beveiligingsgroep en het routeringspad naar de Syslog Collector.

    • Als u wel ziet dat pakketten binnenkomen, controleert u of ze niet worden geweigerd.

    Als u geweigerde pakketten ziet, controleert u of de IP-tabellen de verbindingen niet blokkeren.

    Voer de volgende opdracht uit om te bevestigen dat pakketten niet worden geweigerd:

    watch -n 2 -d iptables -nvL

  5. Controleer of de CEF-server de logboeken verwerkt. Run:

    tail -f /var/log/messages or tail -f /var/log/syslog

    Cef-logboeken die worden verwerkt, worden weergegeven in tekst zonder opmaak.

  6. Controleer of de rsyslog-server luistert op TCP/UDP-poort 514. Run:

    netstat -anp | grep syslog

    Als er CEF- of ASA-logboeken naar uw Syslog Collector worden verzonden, ziet u een tot stand gebrachte verbinding op TCP-poort 25226.

    Voorbeeld:

    0 127.0.0.1:36120 127.0.0.1:25226 ESTABLISHED 1055/rsyslogd

    Als de verbinding is geblokkeerd, hebt u mogelijk een geblokkeerde SELinux-verbinding met de OMS-agent of een geblokkeerd firewallproces. Gebruik de relevante instructies hieronder om het probleem te bepalen.

SELinux blokkeert de verbinding met de OMS-agent

In deze procedure wordt beschreven hoe u kunt controleren of SELinux zich momenteel in een permissive status bevindt of een verbinding met de OMS-agent blokkeert. Deze procedure is relevant wanneer uw besturingssysteem een distributie is van RedHat of CentOS, en voor zowel CEF- als Syslog-gegevensconnectors.

Notitie

Microsoft Sentinel-ondersteuning voor CEF en Syslog bevat alleen FIPS-beveiliging. Andere methoden voor beveiliging, zoals SELinux of CIS, worden momenteel niet ondersteund.

  1. Run:

    sestatus

    De status wordt als een van de volgende weergegeven:

    • disabled. Deze configuratie wordt ondersteund voor uw verbinding met Microsoft Sentinel.
    • permissive. Deze configuratie wordt ondersteund voor uw verbinding met Microsoft Sentinel.
    • enforced. Deze configuratie wordt niet ondersteund en u moet de status uitschakelen of instellen op permissive.

  2. Als de status momenteel is ingesteld op enforced, schakelt u deze tijdelijk uit om te bevestigen of dit de blokkering was. Run:

    setenforce 0

    Notitie

    Met deze stap wordt SELinux alleen uitgeschakeld totdat de server opnieuw wordt opgestart. Wijzig de SELinux-configuratie om deze uitgeschakeld te houden.

  3. Voer de volgende opdracht uit om te controleren of de wijziging is geslaagd:

    getenforce

    De permissive status moet worden geretourneerd.

Belangrijk

Deze instellingsupdate gaat verloren wanneer het systeem opnieuw wordt opgestart. Als u deze instelling permissivepermanent wilt bijwerken, wijzigt u het bestand /etc/selinux/config en wijzigt u de SELINUX waarde in SELINUX=permissive.

Zie de RedHat-documentatie voor meer informatie.

Geblokkeerd firewallbeleid

In deze procedure wordt beschreven hoe u kunt controleren of een firewallbeleid de verbinding van de Rsyslog-daemon naar de OMS-agent blokkeert en hoe u deze indien nodig uitschakelt. Deze procedure is relevant voor zowel CEF- als Syslog-gegevensconnectors.

  1. Voer de volgende opdracht uit om te controleren of er weigeringen in de IP-tabellen zijn, waarmee wordt aangegeven dat verkeer wordt verwijderd door het firewallbeleid:

    watch -n 2 -d iptables -nvL

  2. Als u het firewallbeleid ingeschakeld wilt houden, maakt u een beleidsregel om de verbindingen toe te staan. Voeg zo nodig regels toe om de TCP/UDP-poorten 25226 en 25224 toe te staan via de actieve firewall.

    Voorbeeld:

    Every 2.0s: iptables -nvL                      rsyslog: Wed Jul  7 15:56:13 2021

Chain INPUT (policy ACCEPT 6185K packets, 2466M bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 6792K packets, 6348M bytes)
 pkts bytes target     prot opt in     out     source               destination

  3. Als u een regel wilt maken om TCP/UDP-poorten 25226 en 25224 via de actieve firewall toe te staan, voegt u zo nodig regels toe.

    1. Voer de volgende opdracht uit om de firewallbeleidseditor te installeren:

      yum install policycoreutils-python

    2. Voeg de firewallregels toe aan het firewallbeleid. Voorbeeld:

      sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25226  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p udp --dport 25224  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25224  -j ACCEPT

    3. Controleer of de uitzondering is toegevoegd. Run:

      sudo firewall-cmd --direct --get-rules ipv4 filter INPUT

    4. Laad de firewall opnieuw. Run:

      sudo firewall-cmd --reload

Notitie

Voer het volgende uit om de firewall uit te schakelen: sudo systemctl disable firewalld

Als de stappen die eerder in dit artikel worden beschreven, uw probleem niet oplossen, is er mogelijk een verbindingsprobleem tussen de OMS-agent en de Microsoft Sentinel-werkruimte.

In dergelijke gevallen kunt u doorgaan met het oplossen van problemen door het volgende te controleren:

  • Zorg ervoor dat u pakketten ziet die binnenkomen op TCP/UDP-poort 514 op de Syslog-collector

  • Zorg ervoor dat u ziet dat logboeken naar het lokale logboekbestand worden geschreven, ofwel /var/log/messages of /var/log/syslog

  • Zorg ervoor dat u gegevenspakketten ziet stromen op poort 25226

  • Zorg ervoor dat uw virtuele machine een uitgaande verbinding heeft met poort 443 via TCP of verbinding kan maken met de Log Analytics-eindpunten

  • Zorg ervoor dat u toegang hebt tot de vereiste URL's van uw CEF-collector via uw firewallbeleid. Zie firewallvereisten voor Log Analytics-agent voor meer informatie.

Voer de volgende opdracht uit om te bepalen of de agent met Azure communiceert of als de OMS-agent geen verbinding kan maken met de Log Analytics-werkruimte.

Heartbeat
 | where Computer contains "<computername>"
 | sort by TimeGenerated desc

Er wordt een logboekvermelding geretourneerd als de agent communiceert. Anders kan de OMS-agent worden geblokkeerd.

Volgende stappen

Als de stappen voor probleemoplossing in dit artikel uw probleem niet hebben geholpen, opent u een ondersteuningsticket of gebruikt u de bronnen van de Microsoft Sentinel-community. Zie Nuttige bronnen voor het werken met Microsoft Sentinel voor meer informatie.

Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: