Соединитель прокси-сервера Squid для Microsoft Sentinel

  • Статья

Соединитель прокси-сервера Squid позволяет легко подключать журналы прокси-сервера Squid с помощью Microsoft Sentinel. Это дает более подробное представление о сетевом прокси-трафике вашей организации и улучшает возможности операций безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics SquidProxy_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 результатов прокси-сервера

SquidProxy 

| where isnotempty(ResultCode) 

| summarize count() by ResultCode 

| top 10 by count_

Лучший 10 одноранговый узел

SquidProxy 

| where isnotempty(PeerHost) 

| summarize count() by PeerHost 

| top 10 by count_

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Squid Proxy и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств SquidProxy и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux или Windows

Установите агент на прокси-сервере Squid, где создаются журналы.

Журналы из Squid Proxy, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. В левой области выберите "Данные", выберите "Пользовательские журналы " и нажмите кнопку "Добавить+ "
  3. Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала прокси-сервера Squid(например, access.log или cache.log). Затем нажмите кнопку "Далее" >
  4. Выберите новую строку в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам прокси-сервера Squid. Пути по умолчанию:
  • Каталог Windows : C:\Squid\var\log\squid\*.log
  • Каталог Linux : /var/log/squid/*.log
  1. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
  2. Добавление SquidProxy_CL в качестве настраиваемого имени журнала и нажатие кнопки "Готово"

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.