[Не рекомендуется] Соединитель Apache Tomcat для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Решение Apache Tomcat предоставляет возможность приема событий Apache Tomcat в Microsoft Sentinel. Дополнительные сведения см. в документации по Apache Tomcat.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Tomcat_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
TomcatEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним TomcatEvent и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
Примечание.
Этот соединитель данных разработан с помощью Apache Tomcat версии 10.0.4
- Установка и подключение агента для Linux или Windows
Установите агент на сервере Apache Tomcat, где создаются журналы.
Журналы из сервера Apache Tomcat, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Настройка настраиваемого каталога журнала для сбора
- Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
- В левой области выберите "Данные", выберите "Пользовательские журналы " и нажмите кнопку "Добавить+ "
- Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала Tomcat (например, access.log или error.log). Затем нажмите кнопку "Далее" >
- Выберите новую строку в качестве разделителя записей и нажмите кнопку "Далее" >
- Выберите Windows или Linux и введите путь к журналам Tomcat в зависимости от конфигурации. Пример:
- Каталог Linux : '/var/log/tomcat/*.log'
- После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
- Добавьте Tomcat_CL в качестве пользовательского имени журнала и нажмите кнопку "Готово"
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.