Guía de solución de problemas para la integración de Sentinel a través de Logstash
Este artículo enumera las indicaciones a tener en cuenta para resolver un problema que puedas encontrar al integrar Microsoft Sentinel con Citrix Analytics mediante Logstash. Para obtener más información al respecto, consulta integración SIEM mediante conector de datos basado en Kafka o Logstash.
Comprobar los registros del servidor de Logstash
Puedes comprobar los registros del servidor de Logstash que aparecen en la ventana de tu terminal para verificar si los datos se han ingerido correctamente en las tablas de registro personalizadas de tu espacio de trabajo de Sentinel.
-
Para ver los detalles del registro, debes descargar el archivo de configuración de Logstash desde Configuración > Exportaciones de datos > ficha Configuración > expande el Entorno SIEM. En Azure Sentinel (versión preliminar), haz clic en Descargar archivo de configuración de Logstash.
-
Una vez que inicies el servidor de Logstash mediante el archivo de configuración, puedes buscar los siguientes registros en la misma ventana del terminal que indican una conexión correcta con el espacio de trabajo de Log Analytics alojado por Microsoft Azure.
Error común: Uso del JDK incluido
Al intentar instalar el complemento de Microsoft Log Analytics, un error común notificado es el que se muestra a continuación:
Después de esto, al intentar ejecutar el servidor de Logstash, es posible que veas el siguiente error:
Para resolver esto, establece JAVA_HOME en el JDK incluido:
- Ve a las variables de entorno de Windows
- Crea una nueva variable de sistema con el nombre “JAVA_HOME”
- Agrega la ruta al JDK de Logstash incluido (< path_to_logstash >/logstash-X.X.X/jdk)
Después de seguir los pasos anteriores, al intentar instalar el complemento de nuevo, aparece la siguiente pantalla:
Si usas LS_JAVA_HOME (ya que JAVA_HOME está obsoleto), también debes especificar la ubicación del JDK incluido en la variable PATH del sistema, y esta ruta debe apuntar a la carpeta jdk\bin (a diferencia de la variable LS_JAVA_HOME):
Si usas LS_JAVA_HOME (ya que JAVA_HOME está obsoleto), también debes especificar la ubicación del JDK incluido en la variable PATH del sistema, y esta ruta debe apuntar a la carpeta jdk\bin (a diferencia de la variable LS_JAVA_HOME):
Comprobar el libro de Microsoft Sentinel
Para confirmar si los datos enviados por Citrix Analytics se han introducido correctamente en la tabla de registro personalizada adecuada en el espacio de trabajo de Log Analytics (para obtener más información sobre la integración de Microsoft Sentinel con Citrix Analytics, consulta integración de Microsoft Sentinel):
- Ve a Azure Portal > Microsoft Sentinel > Selecciona el_espacio_de_trabajo_adecuado > Conectores de datos > selecciona y haz clic en Citrix Security Analytics.
-
Comprueba la barra superior para verificar el estado de la conectividad.
-
En los libros, puedes usar filtros intuitivos para profundizar en los datos y obtener la información del indicador de riesgo. Para obtener la información, ve a Azure Portal > Microsoft Sentinel > Conectores de datos > CITRIX SECURITY ANALYTICS > Libros.
Comprobar los registros del espacio de trabajo de Log Analytics mediante KQL
También puedes comprobar si los datos correctos llegaron a tu espacio de trabajo de Log Analytics ejecutando consultas KQL en las tablas de registro personalizadas respectivas.
-
Ve a Azure Portal > Espacios de trabajo de Log Analytics y busca el espacio de trabajo correcto.
-
En el panel izquierdo, selecciona Registros y busca la tabla de análisis de registros personalizada en la ficha Tablas.
-
Selecciona la tabla de análisis de registros personalizada y haz clic en Usar en el editor. (Para obtener orientación sobre las consultas KQL en el espacio de trabajo de Log Analytics, consulta Tutorial de Log Analytics).
-
Haz clic en Ejecutar.
