你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Citrix ADC(前称为 NetScaler)连接器

  • 项目

Citrix ADC(前称为 NetScaler)数据连接器提供将 Citrix ADC 日志引入 Microsoft Sentinel 的功能。 如果要将 Citrix WAF 日志引入 Microsoft Sentinel,请参阅此文档

连接器属性

连接器属性 说明
Log Analytics 表 Syslog
数据收集规则支持 工作区转换 DCR
支持的服务 Microsoft Corporation

查询示例

10 大事件类型

CitrixADCEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

供应商安装说明

注意

  1. 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数作为解决方案的一部分进行部署。 要在 Log Analytics 中查看函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 CitrixADCEvent,然后加载函数代码,或单击此处,此函数会将 Citrix ADC(以前称为 NetScaler)事件映射到高级安全信息模型 ASIM。 安装/更新解决方案后,该函数通常需要 10-15 分钟才能激活。
  2. 此分析程序需要名为 Sources_by_SourceType 的监视列表

i. 如果尚未创建监视列表,请单击此处进行创建。

ii. 打开监视列表 Sources_by_SourceType 并添加此数据源的条目。

iii. CitrixADC 的 SourceType 值为 CitrixADC

有关更多详细信息,可参阅文档

  1. 安装并载入适用于 Linux 的代理

通常,应将代理安装在与生成日志的计算机不同的计算机上。

仅从 Linux 代理收集 Syslog 日志。

  1. 配置要收集的日志

配置要收集的设施及其严重性。

  1. 在工作区高级设置“配置”下,选择“数据”,然后选择“Syslog”。

  2. 选择“将以下配置应用到我的计算机”,然后选择设施和严重性。

  3. 单击“ 保存”。

  4. 配置 Citrix ADC 以通过 Syslog 转发日志

3.1 导航到“配置”选项卡“>“系统”>“审核”>“Syslog”>“服务器”选项卡

3.2 指定 Syslog 操作名称。

3.3 设置远程 Syslog 服务器和端口的 IP 地址。

3.4 根据远程 Syslog 服务器配置将“传输类型”设置为“TCP”或“UDP”。

3.5 可以参阅 Citrix ADC(以前称为 NetScaler)文档以了解更多详细信息。

  1. 在 Microsoft Sentinel 中检查日志

打开 Log Analytics 以检查是否使用 Syslog 架构收到日志。

注意:新日志可能需要 15 分钟才会显示在 Syslog 表中。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案