Guide de dépannage pour l’intégration de Sentinel via Logstash
Cet article répertorie les points à vérifier pour résoudre un problème que vous pourriez rencontrer lors de l’intégration de Microsoft Sentinel avec Citrix Analytics à l’aide de Logstash. Pour en savoir plus, consultez Intégration SIEM à l’aide du connecteur de données basé sur Kafka ou Logstash.
Vérifier les journaux du serveur Logstash
Vous pouvez vérifier les journaux du serveur Logstash affichés dans votre fenêtre de terminal pour vérifier si les données ont été correctement ingérées dans les tables de journaux personnalisées de votre espace de travail Sentinel.
-
Pour afficher les détails du journal, vous devez télécharger le fichier de configuration Logstash depuis l’onglet Paramètres > Exportations de données > Configuration > développez l’Environnement SIEM. Sous Azure Sentinel (Préversion), cliquez sur Télécharger le fichier de configuration Logstash.
-
Une fois que vous avez démarré le serveur Logstash à l’aide du fichier de configuration, vous pouvez rechercher les journaux suivants dans la même fenêtre de terminal, qui indiquent une connexion réussie avec l’espace de travail Log Analytics hébergé par Microsoft Azure.
Erreur courante : Utilisation du JDK fourni
Lors de la tentative d’installation du plug-in Microsoft Log Analytics, une erreur courante signalée est celle présentée ci-dessous :
Après cela, en essayant d’exécuter le serveur Logstash, vous pourriez voir l’erreur suivante :
Pour résoudre ce problème, définissez JAVA_HOME sur le JDK fourni :
- Accédez aux variables d’environnement Windows
- Créez une nouvelle variable système nommée « JAVA_HOME »
- Ajoutez le chemin d’accès au JDK Logstash fourni (< path_to_logstash >/logstash-X.X.X/jdk)
Après avoir suivi les étapes ci-dessus, en essayant d’installer à nouveau le plug-in, l’écran suivant apparaît :
Si vous utilisez LS_JAVA_HOME (car JAVA_HOME est obsolète), vous devez également spécifier l’emplacement du JDK fourni dans la variable système PATH, et ce chemin doit pointer vers le dossier jdk\bin (contrairement à la variable LS_JAVA_HOME) :
Si vous utilisez LS_JAVA_HOME (car JAVA_HOME est obsolète), vous devez également spécifier l’emplacement du JDK fourni dans la variable système PATH, et ce chemin doit pointer vers le dossier jdk\bin (contrairement à la variable LS_JAVA_HOME) :
Vérifier le classeur Microsoft Sentinel
Pour confirmer si les données envoyées par Citrix Analytics ont été correctement saisies dans la table de journaux personnalisée appropriée de l’espace de travail Log Analytics (Pour en savoir plus sur l’intégration de Microsoft Sentinel avec Citrix Analytics, consultez Intégration de Microsoft Sentinel) :
-
Accédez à Portail Azure > Microsoft Sentinel > Sélectionner l’espace_de_travail_approprié > Connecteurs de données > sélectionnez et cliquez sur Citrix Security Analytics.
-
Vérifiez la barre supérieure pour vérifier l’état de la connectivité.
-
Sous les classeurs, vous pouvez utiliser des filtres intuitifs pour affiner les données et obtenir les informations sur les indicateurs de risque. Pour obtenir ces informations, accédez à Portail Azure > Microsoft Sentinel > Connecteurs de données > CITRIX SECURITY ANALYTICS > Classeurs.
Vérifier les journaux de l’espace de travail Log Analytics à l’aide de KQL
Vous pouvez également vérifier si les données correctes ont été acheminées vers votre espace de travail Log Analytics en exécutant des requêtes KQL sur les tables de journaux personnalisées respectives.
-
Accédez à Portail Azure > Espaces de travail Log Analytics et recherchez l’espace de travail approprié.
-
Dans le panneau de gauche, sélectionnez Journaux et recherchez la table d’analyse des journaux personnalisée sous l’onglet Tables.
-
Sélectionnez la table d’analyse des journaux personnalisée et cliquez sur Utiliser dans l’éditeur. (Pour obtenir des conseils sur les requêtes KQL dans l’espace de travail Log Analytics, consultez Didacticiel Log Analytics).
-
Cliquez sur Exécuter.
