Соединитель событий PostgreSQL для Microsoft Sentinel

  • Статья

Соединитель данных PostgreSQL предоставляет возможность приема событий PostgreSQL в Microsoft Sentinel. Дополнительные сведения см. в документации по PostgreSQL.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Псевдоним функции Kusto PostgreSQLEvent
URL-адрес функции Kusto https://aka.ms/sentinel-postgresql-parser
Таблицы Log Analytics PostgreSQL_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Ошибки PostgreSQL

PostgreSQLEvent

| where EventSeverity in~ ('ERROR', 'FATAL')

| sort by EventEndTime

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа PostgreSQL на основе функции Kusto для работы должным образом. Этот средство синтаксического анализа устанавливается вместе с установкой решения.

  1. Установка и подключение агента для Linux или Windows

Установите агент на сервере Tomcat, где создаются журналы.

Журналы из сервера PostgreSQL, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка PostgreSQL для записи журналов в файлы

  2. Измените файл postgresql.conf для записи журналов в файлы:

log_destination = stderr

logging_collector = в

Задайте следующие параметры: log_directory и log_filename. Дополнительные сведения см. в документации по PostgreSQL

  1. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. В левой области выберите Параметры, выберите "Настраиваемые журналы" и нажмите кнопку "Добавить настраиваемый журнал"
  3. Нажмите кнопку "Обзор" , чтобы отправить пример файла журнала PostgreSQL. Затем нажмите кнопку "Далее" >
  4. Выберите метку времени в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам PostgreSQL на основе конфигурации (например, для некоторых дистрибутивов Linux по умолчанию используется путь /var/log/postgresql/)
  6. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
  7. Добавьте PostgreSQL в качестве настраиваемого имени журнала (суффикс "_CL" будет добавлен автоматически) и нажмите кнопку "Готово".

Проверка подключения

Это может занять более 20 минут, пока журналы не начнут отображаться в Microsoft Sentinel.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.