Попытка переслать общие журналы CEF в Azure Sentinel

Question

Попытка переслать общие журналы CEF в Azure Sentinel

Я пересылаю общие журналы CEF в Azure Sentinel и сталкиваюсь с аналогичной проблемой, как указано здесь:

https://github.com/MicrosoftDocs/azure-docs/issues/28909

Я считаю, что у меня правильно настроен rsyslog, когда я слушаю порт 514, я вижу журналы CEF, однако агент Azure не видит ничего, попадающего в его порт прослушивания. Когда я перезапускаю rsyslog, я вижу локальный трафик системного журнала на агенте Azure.

Я читал следующую статью:

https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format

С конфигурацией пересылки rsyslog следующим образом:

local4.debug @127.0.0.1:25226

Предполагая, что это уровень средств, однако я не могу изменить это в клиенте системного журнала, я добавил несколько дополнительных средств, таких как системный журнал, пользователь, но безрезультатно.

Кто-нибудь знает обходные пути?

1

logging chromium-embedded azure-sentinel

Источник

user7717624 23 окт '19 в 02:23

1 ответ

Решение

Другие вопросы по тегам logging chromium-embedded azure-sentinel

user7717624 30 окт '19 в 17:37 2019-10-30 17:37 · Accepted Answer · 2019-10-30 17:37

В /etc/rsyslog.d/security-config-omsagent.conf добавьте следующее:

.@127.0.0.1:25226

:rawmsg, regex, "CEF\|ASA" ~

Также был сценарий от Azure для тестирования как rsyslog/syslog-ng, так и агента oms:

wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>

1

Источник

user7717624 30 окт '19 в 17:37