你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 Barracuda CloudGen 防火墙连接器

项目
12/09/2023

Barracuda CloudGen 防火墙（CGFW）连接器允许你轻松将 Barracuda CGFW 日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报和改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。

连接器属性

连接器属性	说明
Log Analytics 表	Syslog （Barracuda）
数据收集规则支持	工作区转换 DCR
支持的服务	社区

查询示例

所有日志

CGFWFirewallActivity
         
| sort by TimeGenerated

前 10 名活跃用户（过去 24 小时）

CGFWFirewallActivity
         
| extend User = coalesce(User, "Unauthenticated") 
                 
| summarize count() by User
                 
| take 10

前 10 个应用程序（过去 24 小时）

CGFWFirewallActivity
         
| where isnotempty(Application)
                 
| summarize count() by Application
                 
| take 10

先决条件

若要与 Barracuda CloudGen 防火墙集成，请确保具备：

Barracuda CloudGen 防火墙：必须配置为通过 Syslog 导出日志

供应商安装说明

注意：此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作，该函数作为解决方案的一部分进行部署。若要查看 Log Analytics 中的函数代码，请打开 Log Analytics/Microsoft Sentinel 日志边栏选项卡，单击 Functions 并搜索别名 CGFWFirewallActivity 并加载函数代码或单击此处。安装/更新解决方案后，函数通常需要 10-15 分钟才能激活。

安装并载入适用于 Linux 的代理

通常，应将代理安装在与生成日志的计算机不同的计算机上。

仅从 Linux 代理收集 Syslog 日志。
配置要收集的日志

配置要收集的设施及其严重性。

在工作区高级设置“配置”下，选择“数据”，然后选择“Syslog”。
选择“将以下配置应用到我的计算机”，然后选择设施和严重性。
单击“ 保存”。

配置和连接 Barracuda CloudGen 防火墙

按照说明配置 syslog 流式处理。将 Linux 计算机的 IP 地址或主机名与为目标 IP 地址安装的 Microsoft Sentinel 代理配合使用。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。