[Preterido] Conector de auditoria MarkLogic para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O conector de dados MarkLogic fornece a capacidade de ingerir logs MarkLogicAudit no Microsoft Sentinel. Consulte a documentação do MarkLogic para obter mais informações.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | MarkLogicAudit_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
MarkLogicAudit - Todas as Atividades.
MarkLogicAudit_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias MarkLogicAudit e carregue o código da função ou clique aqui na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) MarkLogicAudit e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor Tomcat onde os logs são gerados.
Os logs do MarkLogic Server implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows .
- Configurar MarkLogicAudit para habilitar a auditoria
Execute as seguintes etapas para habilitar a auditoria para um grupo:
Acesse a interface de administração com um navegador;
Abra a tela Configuração de Auditoria (Grupos > group_name > Auditoria);
Selecione True para o botão de opção Auditoria habilitada;
Configure quaisquer eventos de auditoria e/ou restrições de auditoria que desejar;
Clique em OK.
Consulte a documentação do MarkLogic para obter mais detalhes
- Configurar os logs a serem coletados
Configurar o diretório de log personalizado a ser coletado
- Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
- No painel esquerdo, selecione Configurações, selecione Logs personalizados e clique em +Adicionar log personalizado
- Clique em Procurar para carregar uma amostra de um arquivo de log MarkLogicAudit. Em seguida, clique em Avançar >
- Selecione Carimbo de data/hora como delimitador de registro e clique em Avançar >
- Selecione Windows ou Linux e insira o caminho para os logs MarkLogicAudit com base na sua configuração
- Depois de inserir o caminho, clique no símbolo '+' para aplicar e, em seguida, clique em Avançar >
- Adicione MarkLogicAudit como o nome do log personalizado (o sufixo '_CL' será adicionado automaticamente) e clique em Concluído.
Validar a conectividade
Pode levar mais de 20 minutos até que seus logs comecem a aparecer no Microsoft Sentinel.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.