产品文档
Citrix Analytics for Security
查看 PDF

通过 Logstash 集成 Sentinel 的故障排除指南

May 8, 2023
投稿者: 
C

本文列出了一些注意事项,以解决您在使用 Logstash 将 Microsoft Sentinel 与 Citrix Analytics 集成时可能遇到的问题。要了解更多相关信息,请参阅 使用基于 Kafka 或基于 Logstash 的数据连接器进行 SIEM 集成

查看 Logstash 服务器日志

您可以检查终端窗口上显示的 Logstash 服务器日志,以验证数据是否已正确导入到 Sentinel 工作区的自定义日志表中。

  1. 要查看日志详细信息,必须从“设置”>“数据导出”>“配置”选项卡 ** 展开 SIEM 环境中下载 Logstash 配置文件。在Azure Sentinel(预览版)下,单击“下载 Logst**ash 配置文件”。

  2. 使用配置文件启动 Logstash 服务器后,您可以在同一个终端窗口中查看以下日志,这些日志表明已成功连接到 Microsoft Azure 托管的日志分析工作区。

    数据导出故障排除

常见错误:使用捆绑的 JDK

尝试安装 Microsoft 日志分析插件时,报告的常见错误如下所示:

微软日志分析插件

之后,在尝试运行 Logstash 服务器时,您可能会看到以下错误:

Logstash 服务器错误

要解决此问题,请将 JAVA_HOME 设置为捆绑的 JDK:

  1. 转到 Windows 环境变量
  2. 创建一个名为“JAVA_HOME”的新系统变量
  3. < path_to_logstash >添加捆绑的 Logstash JDK 的路径 /logstash-x.x.x/JDK)

完成上述步骤后,尝试再次安装插件时,会出现以下屏幕:

Jdk 文件

如果您使用 LS_JAVA_HOME(不推荐使用 JAVA_HOME),则还必须在系统 PATH 变量中指定捆绑的 JDK 的位置,并且此路径必须指向 jdk\ bin 文件夹(与 LS_ J AVA_HOME 变量不同):

Jdk 文件

如果您使用 LS_JAVA_HOME(不推荐使用 JAVA_HOME),则还必须在系统 PATH 变量中指定捆绑的 JDK 的位置,并且此路径必须指向 jdk\ bin 文件夹(与 LS_ J AVA_HOME 变量不同):

位置路径

查看微软 Sentinel 工作簿

要确认 Citrix Analytics 发送的数据是否已成功输入到日志分析工作区的相应自定义日志表中(要了解有关 Microsoft Sentinel 与 Citrix Analytics 集成的更多信息,请参阅微软 Sentinel 集成):

  1. 导航到Azure 门户 > 微软 Sentinel > 选择 approte_workspace > 数据连接器 ** 选择并单击 Citrix 安全分析。**

  2. 检查顶栏以验证连接状态。

    连接状态

  3. 在工作簿下,您可以使用直观的筛选器进一步深入分析数据以获取风险指标信息。要获取信息,请导航到 Azure 门户 > 微软 Sentinel > 数据连接器 > CITRIX 安全分析工作簿。

    工作簿

使用 KQL 查看日志分析工作区日志

您还可以通过对相应的自定义日志表运行 KQL 查询,检查是否有正确的数据进入了 LogAnalytics 工作空间。

  1. 导航到 Azure 门户 > 日志分析工作 区,然后搜索正确的工作空间。

  2. 在左侧面板下,选择 日志 ,然后在表格选项卡下搜索自定义日志分析

  3. 选择自定义日志分析表,然后单击“在编辑器中使用”。(有关日志分析工作区上的 KQL 查询的指导,请参阅 日志分析教程)。

  4. 单击运行

    在编辑器中使用

通过 Logstash 集成 Sentinel 的故障排除指南
May 8, 2023
投稿者: 
C
May 8, 2023
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.