[Deprecato] Connettore MarkLogic Audit per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore dati MarkLogic offre la possibilità di inserire log MarkLogicAudit in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di MarkLogic.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | MarkLogicAudit_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
MarkLogicAudit - Tutte le attività.
MarkLogicAudit_CL
| sort by TimeGenerated desc
Istruzioni per l’installazione di Vendor
NOTA: per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias MarkLogicAudit e caricare il codice della funzione oppure fare clic qui nella seconda riga della query, immettere i nomi host dei dispositivi MarkLogicAudit e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server Tomcat in cui vengono generati i log.
I log di MarkLogic Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare MarkLogicAudit per abilitare il controllo
Per abilitare il controllo per un gruppo, seguire questa procedura:
Accedere all'interfaccia di amministrazione con un browser;
Aprire la schermata Configurazione di controllo (Gruppi > group_name > Controllo);
Selezionare True per il pulsante di opzione Controlla abilitato;
Configurare gli eventi di controllo e/o le restrizioni di controllo desiderati;
Fare clic su OK.
Per altri dettagli, vedere la documentazione di MarkLogic
- Configurare i log da raccogliere
Configurare la directory di log personalizzata da raccogliere
- Selezionare il collegamento precedente per aprire le impostazioni avanzate dell'area di lavoro
- Nel riquadro sinistro selezionare Impostazioni, selezionare Log personalizzati e fare clic su +Aggiungi log personalizzato
- Fare clic su Sfoglia per caricare un esempio di file di log MarkLogicAudit. Fare quindi clic su Avanti >
- Selezionare Timestamp come delimitatore di record e fare clic su Avanti >
- Selezionare Windows o Linux e immettere il percorso dei log MarkLogicAudit in base alla configurazione
- Dopo aver immesso il percorso, fare clic sul simbolo '+' da applicare, quindi fare clic su Avanti >
- Aggiungere MarkLogicAudit come nome del log personalizzato (il suffisso '_CL' verrà aggiunto automaticamente) e fare clic su Fine.
Convalidare la connettività
Potrebbero essere necessari fino a 20 minuti fino a quando i log non vengono visualizzati in Microsoft Sentinel.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.