你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 VMware vCenter 连接器

  • 项目

通过 vCenter 连接器,可以轻松将 vCenter 服务器日志与 Microsoft Sentinel 连接。 这样,用户就可以更深入地了解组织的数据中心并改善安全操作功能。

连接器属性

连接器属性 说明
Log Analytics 表 vCenter_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

按事件类型列出的事件总数

vCenter 

| summarize count() by EventType

登录到/注销 vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

供应商安装说明

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 VMware vCenter 并加载函数代码,或者单击此处,在查询的第二行输入 VMware vCenter 设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

  1. 如果尚未从 ContentHub 安装 vCenter 解决方案,请按照以下步骤使用 Kusto 函数别名 vCenter
  1. 安装并载入适用于 Linux 的代理

通常,应将代理安装在与生成日志的计算机不同的计算机上。

仅从 Linux 代理收集 Syslog 日志。

  1. 配置要收集的日志

按照以下配置步骤将 vCenter 服务器日志导入 Microsoft Sentinel。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。 对于 vCenter 服务器日志,在使用默认设置按 OMS 代理数据分析数据时出现问题。 因此,我们建议按照以下说明将日志捕获到自定义表 vCenter_CL 中。

  1. 登录到安装了 OMS 代理的服务器。

  2. 下载配置文件 vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. 将 vcenter.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹。 cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 按以下所示编辑 vcenter.conf:

    a. 默认情况下,vcenter.conf 使用端口 22033。 确保服务器上的任何其他源都未使用此端口

    b. 如果要更改 vcenter.conf 的默认端口,请确保不使用默认 Azure 监视日志分析代理端口(例如,CEF 使用 TCP 端口 25226 或 25224)

    c. 将 workspace_id 替换为工作区 ID 的实际值(行 13、14、15、18)

  5. 保存更改,并使用以下命令重启 Linux 服务的 Azure Log Analytics 代理:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 修改 /etc/rsyslog.conf 文件 - 最好在开头 /before 指令部分添加以下模板:$template vcenter,"%timestamp% %hostname% %msg%\n"

  7. 在 /etc/rsyslog.d/ 中创建自定义配置文件(例如 10-vcenter.conf)并添加以下筛选条件。

    使用添加的语句时,需要创建一个筛选器,以指定要转发到自定义表的来自 vcenter 服务器的日志。

    参考:筛选条件 — rsyslog 8.18.0.master 文档

    下面是一个可以定义的筛选的示例,并不完整,需要对每个安装进行额外测试。 如果$rawmsg包含“vcenter-server”,则 @@127.0.0.1:22033;vcenter & stop if $rawmsg contains “vpxd” then @@127.0.0.1:22033;vcenter & stop

  8. 重启 rsyslog systemctl restart rsyslog

  9. 配置并连接 vCenter 设备

按照以下说明操作,将 vCenter 配置为转发 Syslog。 使用安装了 Linux 代理的 Linux 设备的 IP 地址或主机名作为目标 IP 地址。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案