CEF veya Syslog veri bağlayıcınızın sorunlarını giderme

  • Makale

Dikkat

Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.

Bu makalede, Microsoft Sentinel için CEF veya Syslog veri bağlayıcısını doğrulamaya ve sorun gidermeye yönelik yaygın yöntemler açıklanmaktadır.

Örneğin, günlükleriniz Syslog veya Ortak Güvenlik Günlüğü tablolarında Microsoft Sentinel'de görünmüyorsa, veri kaynağınız bağlanamıyor olabilir veya verilerinizin alınmamasının başka bir nedeni olabilir.

Başarısız bağlayıcı dağıtımının diğer belirtileri arasında security_events.conf veya security-omsagent.config.conf dosyalarının eksik olması veya rsyslog sunucusunun 514 numaralı bağlantı noktasını dinlememesi sayılabilir.

Daha fazla bilgi için bkz. Ortak Olay Biçimini kullanarak dış çözümünüzü Bağlan ve Syslog kullanarak Linux tabanlı kaynaklardan veri toplama.

Bağlayıcınızı belgelenen yordamdan farklı bir yöntem kullanarak dağıttıysanız ve sorunlarla karşılaşıyorsanız, dağıtımı temizlemenizi ve belgelendiği gibi yeniden yüklemenizi öneririz.

Bu makalede, Log Analytics aracısı ile CEF veya Syslog bağlayıcılarında sorun giderme adımları gösterilmektedir. Azure İzleyici Aracısı (AMA) aracılığıyla CEF günlüklerini almayla ilgili sorun giderme bilgileri için AMA bağlayıcısı yönergeleri aracılığıyla Ortak Olay Biçimi'ni (CEF) gözden geçirin.

Önemli

28 Şubat 2023'te CommonSecurityLog tablo şemasında değişiklikler yaptık. Bu değişikliğin ardından özel sorguları gözden geçirmeniz ve güncelleştirmeniz gerekebilir. Diğer ayrıntılar için bu blog gönderisindeki önerilen eylemler bölümüne bakın. Kullanıma açık içerik (algılamalar, tehdit avcılığı sorguları, çalışma kitapları, ayrıştırıcılar vb.) Microsoft Sentinel tarafından güncelleştirildi.

Bu makale nasıl kullanılır?

Bu makaledeki bilgiler yalnızca Syslog veya yalnızca CEF bağlayıcıları için uygun olduğunda, sayfayı sekmeler halinde düzenledik. Bağlayıcı türünüz için doğru sekmedeki yönergeleri kullandığınızdan emin olun.

Örneğin, bir CEF bağlayıcısıyla ilgili sorunları gideriyorsanız CEF bağlantısını doğrulama ile başlayın. Syslog bağlayıcısı sorunlarını gideriyorsanız Veri bağlayıcınızı doğrulayın önkoşullarıyla aşağıdan başlayın.

CEF bağlantısını doğrulama

Günlük ileticinizi dağıttıktan ve güvenlik çözümünüzü CEF iletileri gönderecek şekilde yapılandırdıktan sonra, güvenlik çözümünüzle Microsoft Sentinel arasındaki bağlantıyı doğrulamak için bu bölümdeki adımları kullanın.

Bu yordam yalnızca CEF bağlantıları için geçerlidir ve Syslog bağlantıları için uygun değildir .

  1. Aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

    • Günlük ileticisi makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

    • Günlük ileticisi makinenizde python 2.7 veya 3 yüklü olmalıdır. python --version Denetlemek için komutunu kullanın.

    • Bu işlemin bir noktasında Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı gerekebilir. Bunları, aracı yönetimi altındaki çalışma alanı kaynağında bulabilirsiniz.

  2. Microsoft Sentinel gezinti menüsünde Günlükler'i açın. Güvenlik çözümünüzden günlük alıp almadığınıza bakmak için CommonSecurityLog şemasını kullanarak bir sorgu çalıştırın.

    Günlüklerinizin Log Analytics'te görünmeye başlaması yaklaşık 20 dakika sürebilir.

  3. Sorgudan herhangi bir sonuç görmüyorsanız, güvenlik çözümünüzden olayların oluşturulduğunu doğrulayın veya bazılarını oluşturmayı deneyin ve bunların belirttiğiniz Syslog iletici makinesine iletildiğini doğrulayın.

  4. Güvenlik çözümünüz, günlük ileticisi ve Microsoft Sentinel arasındaki bağlantıyı denetlemek için günlük ileticisinde (yer tutucu yerine Çalışma Alanı Kimliğini uygulayarak) aşağıdaki betiği çalıştırın. Bu betik, daemon'un doğru bağlantı noktalarında dinlediğini, iletmenin düzgün yapılandırıldığını ve daemon ile Log Analytics aracısı arasındaki iletişimi engelleyen bir şey olmadığını denetler. Ayrıca uçtan uca bağlantıyı denetlemek için 'TestCommonEventFormat' sahte iletileri gönderir. 

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

    • Bilgisayar alanının eşlenmesiyle ilgili bir sorunu düzeltmek için sizi bir komut çalıştırmaya yönlendiren bir ileti alabilirsiniz. Ayrıntılar için doğrulama betiğindeki açıklamaya bakın.

    • Cisco ASA güvenlik duvarı günlüklerinin ayrıştırılmasıyla ilgili bir sorunu düzeltmek için sizi bir komut çalıştırmaya yönlendiren bir ileti alabilirsiniz. Ayrıntılar için doğrulama betiğindeki açıklamaya bakın.

CEF doğrulama betiği açıklandı

Aşağıdaki bölümde rsyslog daemon ve syslog-ng daemon için CEF doğrulama betiği açıklanmaktadır.

rsyslog daemon

Rsyslog daemon için CEF doğrulama betiği aşağıdaki denetimleri çalıştırır:

  1. Dosyanın
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    mevcut ve geçerli.

  2. Dosyanın aşağıdaki metni içerdiğini denetler:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Aşağıdaki komutu kullanarak Cisco ASA Güvenlik Duvarı olayları için ayrıştırma işleminin beklendiği gibi yapılandırıldığını denetler:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Ayrıştırma ile ilgili bir sorun varsa, betik sizi aşağıdaki komutu el ile çalıştırmaya yönlendiren bir hata iletisi oluşturur (yer tutucu yerine Çalışma Alanı Kimliğini uygular). Komutu doğru ayrıştırma işleminin doğru olduğundan emin olur ve aracıyı yeniden başlatır.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Aşağıdaki komutu kullanarak syslog kaynağındaki Bilgisayar alanının Log Analytics aracısında düzgün eşlendiğini denetler:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Eşlemeyle ilgili bir sorun varsa, betik sizi aşağıdaki komutu el ile çalıştırmaya yönlendiren bir hata iletisi oluşturur (yer tutucu yerine Çalışma Alanı Kimliğini uygular). Komutu doğru eşlemeyi sağlar ve aracıyı yeniden başlatır.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Makinede ağ trafiğini (konak güvenlik duvarı gibi) engelleyebilecek güvenlik geliştirmeleri olup olmadığını denetler.

  6. Syslog daemon'unun (rsyslog) 25226 numaralı TCP bağlantı noktasında Log Analytics aracısına ileti gönderecek şekilde (CEF olarak tanımladığını) düzgün yapılandırdığını denetler:

    Yapılandırma dosyası: /etc/rsyslog.d/security-config-omsagent.conf

    if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  7. Syslog daemon ve Log Analytics aracısını yeniden başlatır:

    service rsyslog restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Gerekli bağlantıların kurulduğunu denetler: veri almak için tcp 514, syslog daemon ile Log Analytics aracısı arasındaki iç iletişim için tcp 25226:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Syslog daemon'unun 514 numaralı bağlantı noktasında veri aldığını ve aracının 25226 numaralı bağlantı noktasında veri aldığını denetler:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK verilerini localhost üzerindeki 514 numaralı bağlantı noktasına gönderir. Bu veriler, aşağıdaki sorgu çalıştırılarak Microsoft Sentinel çalışma alanında gözlemlenebilir olmalıdır:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

syslog-ng daemon

Bir syslog-ng daemon için CEF doğrulama betiği aşağıdaki denetimleri çalıştırır:

  1. Dosyanın
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    mevcut ve geçerli.

  2. Dosyanın aşağıdaki metni içerdiğini denetler:

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. Aşağıdaki komutu kullanarak Cisco ASA Güvenlik Duvarı olayları için ayrıştırma işleminin beklendiği gibi yapılandırıldığını denetler:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • Ayrıştırma ile ilgili bir sorun varsa, betik sizi aşağıdaki komutu el ile çalıştırmaya yönlendiren bir hata iletisi oluşturur (yer tutucu yerine Çalışma Alanı Kimliğini uygular). Komutu doğru ayrıştırma işleminin doğru olduğundan emin olur ve aracıyı yeniden başlatır.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. Aşağıdaki komutu kullanarak syslog kaynağındaki Bilgisayar alanının Log Analytics aracısında düzgün eşlendiğini denetler:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Eşlemeyle ilgili bir sorun varsa, betik sizi aşağıdaki komutu el ile çalıştırmaya yönlendiren bir hata iletisi oluşturur (yer tutucu yerine Çalışma Alanı Kimliğini uygular). Komutu doğru eşlemeyi sağlar ve aracıyı yeniden başlatır.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Makinede ağ trafiğini (konak güvenlik duvarı gibi) engelleyebilecek güvenlik geliştirmeleri olup olmadığını denetler.

  6. Syslog daemon'unun (syslog-ng) CEF olarak tanımlamış olduğu iletileri (regex kullanarak) TCP bağlantı noktası 25226'da Log Analytics aracısına gönderecek şekilde düzgün yapılandırıldığını denetler:

    • Yapılandırma dosyası: /etc/syslog-ng/conf.d/security-config-omsagent.conf

      filter f_oms_filter {match(\"CEF\|ASA\" ) ;};destination oms_destination {tcp(\"127.0.0.1\" port(25226));};
log {source(s_src);filter(f_oms_filter);destination(oms_destination);};

  7. Syslog daemon ve Log Analytics aracısını yeniden başlatır:

    service syslog-ng restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. Gerekli bağlantıların kurulduğunu denetler: veri almak için tcp 514, syslog daemon ile Log Analytics aracısı arasındaki iç iletişim için tcp 25226:

    netstat -an | grep 514

netstat -an | grep 25226

  9. Syslog daemon'unun 514 numaralı bağlantı noktasında veri aldığını ve aracının 25226 numaralı bağlantı noktasında veri aldığını denetler:

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK verilerini localhost üzerindeki 514 numaralı bağlantı noktasına gönderir. Bu veriler, aşağıdaki sorgu çalıştırılarak Microsoft Sentinel çalışma alanında gözlemlenebilir olmalıdır:

    CommonSecurityLog
| where DeviceProduct == "MOCK"

Veri bağlayıcısı önkoşullarınızı doğrulama

CEF veya Syslog veri bağlayıcısı önkoşullarınızı denetlemek için aşağıdaki bölümleri kullanın.

CEF toplayıcısı olarak Azure Sanal Makinesi

AZURE Sanal Makinesi'ni CEF toplayıcısı olarak kullanıyorsanız aşağıdakileri doğrulayın:

  • Ortak Olay Biçimi Veri bağlayıcısı Python betiğini dağıtmadan önce Sanal Makinenizin mevcut bir Log Analytics çalışma alanına bağlı olmadığından emin olun. Bu bilgileri, Syslog çalışma alanına bağlı bir VM'nin Bağlan olarak listelendiği Log Analytics Çalışma Alanı Sanal Makinesi listesinde bulabilirsiniz.

  • Microsoft Sentinel'in Güvenlik Analizler çözümünün yüklü olduğu doğru Log Analytics çalışma alanına bağlı olduğundan emin olun.

    Daha fazla bilgi için bkz . 1. Adım: Günlük ileticisini dağıtma.

  • Makinenizin en az gerekli önkoşullarla doğru boyutlandırılmış olduğundan emin olun. Daha fazla bilgi için bkz . CEF önkoşulları.

Şirket içi veya Azure dışı sanal makine

Veri bağlayıcınız için şirket içi makine veya Azure dışı bir sanal makine kullanıyorsanız, desteklenen bir Linux işletim sisteminin yeni yüklemesinde yükleme betiğini çalıştırdığınızdan emin olun:

İpucu

Bu betiği Microsoft Sentinel'deki Ortak Olay Biçimi veri bağlayıcısı sayfasından da bulabilirsiniz.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py <WorkspaceId> <Primary Key>

CEF tesisinizi ve günlük önem derecesi koleksiyonunuzu etkinleştirme

Rsyslog veya syslog-ng syslog sunucusu, Log Analytics çalışma alanınızda tanımlanan ayarlar tarafından otomatik olarak doldurulan ilgili yapılandırma dosyasında tanımlanan tüm verileri iletir.

Microsoft Sentinel'e almak istediğiniz tesisler ve önem derecesi günlük düzeyleri hakkında ayrıntılı bilgi eklediğinizden emin olun. Yapılandırma işlemi yaklaşık 20 dakika sürebilir.

Daha fazla bilgi için bkz . Dağıtım betiği açıklandı.

Örneğin, rsyslog sunucusu için aşağıdaki komutu çalıştırarak Syslog iletmenizin geçerli ayarlarını görüntüleyin ve yapılandırma dosyasındaki değişiklikleri gözden geçirin:

cat /etc/rsyslog.d/security-config-omsagent.conf

Bu durumda rsyslog için aşağıdakine benzer bir çıkış görüntülenmelidir:

if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

İşletim sistemi sorunlarını giderme

Bu bölümde, işletim sistemi yapılandırmasından türetilmiş olan sorunların nasıl giderilir açıklanmaktadır.

İşletim sistemi sorunlarını gidermek için:

  1. Henüz yapmadıysanız desteklenen bir işletim sistemi ve Python sürümüyle çalıştığınızı doğrulayın. Daha fazla bilgi için bkz . CEF önkoşulları.

  2. Sanal Makineniz Azure'daysa, ağ güvenlik grubunun (NSG) 514 numaralı bağlantı noktasındaki günlük istemcinizden (Gönderen) gelen TCP/UDP bağlantısına izin verdiğinden emin olun.

  3. Paketlerin Syslog Toplayıcısı'na geldiğini doğrulayın. Syslog Toplayıcısı'na gelen syslog paketlerini yakalamak için şunu çalıştırın:

    tcpdump -Ani any port 514 and host <ip_address_of_sender> -vv

  4. Aşağıdakilerden birini yapın:

    • Gelen paket görmüyorsanız NSG güvenlik grubu izinlerini ve Syslog Toplayıcısı'nın yönlendirme yolunu onaylayın.

    • Gelen paketleri görürseniz, bunların reddedilmediğini onaylayın.

    Reddedilen paketler görürseniz, IP tablolarının bağlantıları engellemediğini onaylayın.

    Paketlerin reddedilmediğini onaylamak için şunu çalıştırın:

    watch -n 2 -d iptables -nvL

  5. CEF sunucusunun günlükleri işleyip işlemediğini doğrulayın. Çalıştır:

    tail -f /var/log/messages or tail -f /var/log/syslog

    İşlenen tüm CEF günlükleri düz metin olarak görüntülenir.

  6. rsyslog sunucusunun TCP/UDP bağlantı noktası 514'te dinlediğini onaylayın. Çalıştır:

    netstat -anp | grep syslog

    Syslog Toplayıcınıza gönderilen CEF veya ASA günlükleriniz varsa, 25226 numaralı TCP bağlantı noktasında kurulmuş bir bağlantı görmeniz gerekir.

    Örneğin:

    0 127.0.0.1:36120 127.0.0.1:25226 ESTABLISHED 1055/rsyslogd

    Bağlantı engellenmişse, OMS aracısına yönelik engellenmiş bir SELinux bağlantınız veya engellenen bir güvenlik duvarı işleminiz olabilir. Sorunu belirlemek için aşağıdaki ilgili yönergeleri kullanın.

SELinux OMS aracısına bağlantıyı engelliyor

Bu yordamda SELinux'un şu anda bir permissive durumda olup olmadığının veya OMS aracısı bağlantısının engellenip engellenmediğinin nasıl onaylandığı açıklanır. bu yordam, işletim sisteminiz RedHat veya CentOS'tan bir dağıtım olduğunda ve hem CEF hem de Syslog veri bağlayıcıları için geçerlidir.

Not

CEF ve Syslog için Microsoft Sentinel desteği yalnızca FIPS sağlamlaştırmayı içerir. SELinux veya CIS gibi diğer sağlamlaştırma yöntemleri şu anda desteklenmemektedir.

  1. Çalıştır:

    sestatus

    Durum aşağıdakilerden biri olarak görüntülenir:

    • disabled. Bu yapılandırma, Microsoft Sentinel bağlantınız için desteklenir.
    • permissive. Bu yapılandırma, Microsoft Sentinel bağlantınız için desteklenir.
    • enforced. Bu yapılandırma desteklenmez ve durumu devre dışı bırakmanız veya olarak ayarlamanız permissivegerekir.

  2. Durum şu anda olarak enforcedayarlandıysa, bunun engelleyici olup olmadığını onaylamak için geçici olarak kapatın. Çalıştır:

    setenforce 0

    Not

    Bu adım SELinux'i yalnızca sunucu yeniden başlatana kadar kapatır. SELinux yapılandırmasını kapalı tutmak için değiştirin.

  3. Değişikliğin başarılı olup olmadığını doğrulamak için şunu çalıştırın:

    getenforce

    Durum permissive döndürülmelidir.

Önemli

Sistem yeniden başlatıldığında bu ayar güncelleştirmesi kaybolur. Bu ayarı kalıcı olarak olarak olarak güncelleştirmek için permissive/etc/selinux/config dosyasını değiştirin ve değeri olarak SELINUX=permissivedeğiştirinSELINUX.

Daha fazla bilgi için RedHat belgelerine bakın.

Engellenen güvenlik duvarı ilkesi

Bu yordamda, bir güvenlik duvarı ilkesinin Rsyslog daemon'dan OMS aracısına bağlantıyı engelleyip engellemediğinin nasıl doğrulandığı ve gerektiğinde nasıl devre dışı bırakıldığı açıklanır. Bu yordam hem CEF hem de Syslog veri bağlayıcıları için geçerlidir.

  1. IP tablolarında güvenlik duvarı ilkesi tarafından bırakılan trafiği gösteren herhangi bir reddetme olup olmadığını doğrulamak için aşağıdaki komutu çalıştırın:

    watch -n 2 -d iptables -nvL

  2. Güvenlik duvarı ilkesini etkin tutmak için, bağlantılara izin veren bir ilke kuralı oluşturun. Tcp/UDP bağlantı noktaları 25226 ve 25224'e etkin güvenlik duvarı üzerinden izin vermek için gerektiği gibi kurallar ekleyin.

    Örneğin:

    Every 2.0s: iptables -nvL                      rsyslog: Wed Jul  7 15:56:13 2021

Chain INPUT (policy ACCEPT 6185K packets, 2466M bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 6792K packets, 6348M bytes)
 pkts bytes target     prot opt in     out     source               destination

  3. Etkin güvenlik duvarı üzerinden 25226 ve 25224 NUMARALı TCP/UDP bağlantı noktalarına izin veren bir kural oluşturmak için, gerektiğinde kuralları ekleyin.

    1. Güvenlik Duvarı İlkesi düzenleyicisini yüklemek için şunu çalıştırın:

      yum install policycoreutils-python

    2. Güvenlik duvarı kurallarını güvenlik duvarı ilkesine ekleyin. Örneğin:

      sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25226  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p udp --dport 25224  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25224  -j ACCEPT

    3. Özel durumun eklendiğini doğrulayın. Çalıştır:

      sudo firewall-cmd --direct --get-rules ipv4 filter INPUT

    4. Güvenlik duvarını yeniden yükleyin. Çalıştır:

      sudo firewall-cmd --reload

Not

Güvenlik duvarını devre dışı bırakmak için şunu çalıştırın: sudo systemctl disable firewalld

Bu makalenin önceki bölümlerinde açıklanan adımlar sorununuzu çözmezse, OMS Aracısı ile Microsoft Sentinel çalışma alanı arasında bağlantı sorununuz olabilir.

Böyle durumlarda, aşağıdakileri doğrulayarak sorun gidermeye devam edin:

  • Syslog toplayıcısı üzerinde TCP/UDP bağlantı noktası 514'e gelen paketleri görebildiğinize emin olun

  • Yerel günlük dosyasına /var/log/messages veya /var/log/syslog yazıldığını gördüğünüzden emin olun

  • 25226 numaralı bağlantı noktasında akan veri paketlerini görebildiğinize emin olun

  • Sanal makinenizin TCP aracılığıyla 443 numaralı bağlantı noktasına giden bağlantısı olduğundan veya Log Analytics uç noktalarına bağlanadığından emin olun

  • Güvenlik duvarı ilkeniz aracılığıyla CEF toplayıcınızdan gerekli URL'lere erişebildiğinizden emin olun. Daha fazla bilgi için bkz . Log Analytics aracısı güvenlik duvarı gereksinimleri.

Aracının Azure ile başarıyla iletişim kurup kurmadığını veya OMS aracısının Log Analytics çalışma alanına bağlanmasının engellenip engellenmediğini belirlemek için aşağıdaki komutu çalıştırın.

Heartbeat
 | where Computer contains "<computername>"
 | sort by TimeGenerated desc

Aracı başarıyla iletişim kuruyorsa bir günlük girdisi döndürülür. Aksi takdirde, OMS aracısı engellenebilir.

Sonraki adımlar

Bu makaledeki sorun giderme adımları sorununuza yardımcı olmadıysa bir destek bileti açın veya Microsoft Sentinel topluluk kaynaklarını kullanın. Daha fazla bilgi için bkz . Microsoft Sentinel ile çalışmak için yararlı kaynaklar.

Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: