-
-
通过 Logstash 进行 Sentinel 集成的故障排除指南
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
通过 Logstash 集成 Sentinel 的故障排除指南
本文列出了在将 Microsoft Sentinel 与 Citrix Analytics 通过 Logstash 集成时可能遇到的问题,并提供了解决这些问题的提示。要了解更多信息,请参阅使用 Kafka 或基于 Logstash 的数据连接器进行 SIEM 集成。
检查 Logstash 服务器日志
您可以检查终端窗口中显示的 Logstash 服务器日志,以验证数据是否已正确摄取到 Sentinel 工作区中的自定义日志表中。
-
要查看日志详细信息,您必须从“设置” > “数据导出” > “配置”选项卡 > 展开“SIEM 环境”下载 Logstash 配置文件。在“Azure Sentinel (预览版)”下,单击“下载 Logstash 配置文件”。
-
使用配置文件启动 Logstash 服务器后,您可以在同一终端窗口中查找以下日志,这些日志表示已成功连接到 Microsoft Azure 托管的 Log Analytics 工作区。
常见错误:使用捆绑的 JDK
尝试安装 Microsoft Log Analytics 插件时,报告的常见错误如下所示:
此后,尝试运行 Logstash 服务器时,您可能会看到以下错误:
要解决此问题,请将 JAVA_HOME 设置为捆绑的 JDK:
- 转到 Windows 环境变量
- 创建一个名为“JAVA_HOME”的新系统变量
- 添加捆绑的 Logstash JDK 路径 (< path_to_logstash >/logstash-X.X.X/jdk)
完成上述步骤后,再次尝试安装插件时,将出现以下屏幕:
如果您使用 LS_JAVA_HOME(因为 JAVA_HOME 已弃用),您还需要在系统 PATH 变量中指定捆绑 JDK 的位置,并且此路径必须指向 jdk\bin 文件夹(与 LS_JAVA_HOME 变量不同):
如果您使用 LS_JAVA_HOME(因为 JAVA_HOME 已弃用),您还需要在系统 PATH 变量中指定捆绑 JDK 的位置,并且此路径必须指向 jdk\bin 文件夹(与 LS_JAVA_HOME 变量不同):
检查 Microsoft Sentinel 工作簿
要确认 Citrix Analytics 发送的数据是否已成功输入到 Log Analytics 工作区中相应的自定义日志表(要了解有关 Microsoft Sentinel 与 Citrix Analytics 集成的更多信息,请参阅Microsoft Sentinel 集成):
- 导航到“Azure 门户” > “Microsoft Sentinel” > “选择 appropriate_workspace” > “数据连接器” > 选择并单击“Citrix Security Analytics”。
-
检查顶部栏以验证连接状态。
-
在“工作簿”下,您可以使用直观的筛选器进一步深入分析数据以获取风险指标信息。要获取信息,请导航到“Azure 门户” > “Microsoft Sentinel” > “数据连接器” > “CITRIX SECURITY ANALYTICS” > “工作簿”。
使用 KQL 检查 Log Analytics 工作区日志
您还可以通过对相应的自定义日志表运行 KQL 查询来检查正确的数据是否已进入您的 Log Analytics 工作区。
-
导航到“Azure 门户” > “Log Analytics 工作区”,然后搜索正确的工作区。
-
在左侧面板中,选择“日志”,然后在“表”选项卡下搜索自定义 Log Analytics 表。
-
选择自定义 Log Analytics 表,然后单击“在编辑器中使用”。(有关 Log Analytics 工作区中 KQL 查询的指导,请参阅Log Analytics 教程)。
-
单击“运行”。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.