PostgreSQL-händelseanslutning för Microsoft Sentinel

  • Artikel

PostgreSQL-dataanslutningsappen ger möjlighet att mata in PostgreSQL-händelser i Microsoft Sentinel. Mer information finns i PostgreSQL-dokumentationen.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Kusto-funktionsalias PostgreSQLEvent
Kusto-funktions-URL https://aka.ms/sentinel-postgresql-parser
Log Analytics-tabeller PostgreSQL_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

PostgreSQL-fel

PostgreSQLEvent

| where EventSeverity in~ ('ERROR', 'FATAL')

| sort by EventEndTime

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningen är beroende av PostgreSQL-parser baserat på en Kusto-funktion för att fungera som förväntat. Den här parsern installeras tillsammans med lösningsinstallationen.

  1. Installera och registrera agenten för Linux eller Windows

Installera agenten på Tomcat Server där loggarna genereras.

Loggar från PostgreSQL Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.

  1. Konfigurera PostgreSQL för att skriva loggar till filer

  2. Redigera postgresql.conf-filen för att skriva loggar till filer:

log_destination = "stderr"

logging_collector = på

Ange följande parametrar: log_directory och log_filename. Mer information finns i PostgreSQL-dokumentationen

  1. Konfigurera loggarna som ska samlas in

Konfigurera den anpassade loggkatalogen som ska samlas in

  1. Välj länken ovan för att öppna avancerade inställningar för arbetsytan
  2. I den vänstra rutan väljer du Inställningar, väljer Anpassade loggar och klickar på +Lägg till anpassad logg
  3. Klicka på Bläddra för att ladda upp ett exempel på en PostgreSQL-loggfil. Klicka sedan på Nästa >
  4. Välj Tidsstämpel som postavgränsare och klicka på Nästa >
  5. Välj Windows eller Linux och ange sökvägen till PostgreSQL-loggar baserat på din konfiguration (t.ex. för vissa Linux-distributioner är standardsökvägen /var/log/postgresql/)
  6. När du har angett sökvägen klickar du på symbolen +för att tillämpa och klickar sedan på Nästa >
  7. Lägg till PostgreSQL som det anpassade loggnamnet (suffixet "_CL" läggs till automatiskt) och klicka på Klar.

Validera anslutningen

Det kan ta upp till 20 minuter innan loggarna börjar visas i Microsoft Sentinel.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.