[Не рекомендуется] Соединитель OpenVPN Server для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель данных OpenVPN предоставляет возможность приема журналов OpenVPN Server в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog(OpenVPN) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Лучшие 10 источников
OpenVpnEvent
| summarize count() by tostring(SrcIpAddr)
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , OpenVpnEvent , развернутой с помощью решения Microsoft Sentinel.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются OpenVPN.
Журналы из OpenVPN Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Проверьте журналы OpenVPN.
Журналы сервера OpenVPN записываются в общий файл системного журнала (в зависимости от используемого дистрибутива Linux: например, /var/log/messages)
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.