WatchGuard Firebox-anslutningsprogram för Microsoft Sentinel
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances och https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) är säkerhetsprodukter/brandväggsinstallationer. Watchguard Firebox skickar syslog till Watchguard Firebox-insamlingsagenten. Agenten skickar sedan meddelandet till arbetsytan.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog (WatchGuardFirebox) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | WatchGuard |
Exempel på frågor
De 10 främsta brandrutorna under de senaste 24 timmarna
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
Firebox named WatchGuard-XTM top 10 messages in last 24 hours in last 24 hours
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Firebox named WatchGuard-XTM top 10 applications in last 24 hours in last 24 hours
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Installationsanvisningar för leverantör
Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset WatchGuardFirebox och läser in funktionskoden eller klickar här på den andra raden i frågan, anger värdnamnen för din WatchGuard Firebox-enhet och andra unika identifierare för logstreamen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
- Installera och registrera agenten för Linux
Normalt bör du installera agenten på en annan dator än den där loggarna genereras.
Syslog-loggar samlas endast in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.
- Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
- Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.
- Klicka på Spara.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.