Anleitung zur Fehlerbehebung für die Sentinel-Integration über Logstash
Dieser Artikel listet Hinweise auf, die Sie beachten sollten, um ein Problem zu beheben, das bei der Integration von Microsoft Sentinel mit Citrix Analytics über Logstash auftreten kann. Weitere Informationen dazu finden Sie unter SIEM-Integration mithilfe eines Kafka- oder Logstash-basierten Datenkonnektors.
Logstash-Serverprotokolle überprüfen
Sie können die Logstash-Serverprotokolle, die in Ihrem Terminalfenster angezeigt werden, überprüfen, um zu verifizieren, ob Daten korrekt in die benutzerdefinierten Protokolltabellen in Ihrem Sentinel-Arbeitsbereich aufgenommen wurden.
-
Um die Protokolldetails anzuzeigen, müssen Sie die Logstash-Konfigurationsdatei von Einstellungen > Datenexporte > Konfiguration Registerkarte > erweitern Sie die SIEM-Umgebung herunterladen. Unter Azure Sentinel (Vorschau) klicken Sie auf Logstash-Konfigurationsdatei herunterladen.
-
Sobald Sie den Logstash-Server mit der Konfigurationsdatei starten, können Sie im selben Terminalfenster nach den folgenden Protokollen suchen, die eine erfolgreiche Verbindung mit dem von Microsoft Azure gehosteten Log Analytics-Arbeitsbereich anzeigen.
Häufiger Fehler: Verwendung des gebündelten JDK
Beim Versuch, das Microsoft Log Analytics-Plug-in zu installieren, wird häufig der unten gezeigte Fehler gemeldet:
Danach, beim Versuch, den Logstash-Server auszuführen, könnte der folgende Fehler auftreten:
Um dies zu beheben, setzen Sie JAVA_HOME auf das gebündelte JDK:
- Gehen Sie zu den Windows-Umgebungsvariablen
- Erstellen Sie eine neue Systemvariable mit dem Namen „JAVA_HOME“
- Fügen Sie den Pfad zum gebündelten Logstash JDK hinzu (
/logstash-X.X.X/jdk)
Nachdem Sie die oben genannten Schritte ausgeführt haben, erscheint beim erneuten Versuch, das Plug-in zu installieren, der folgende Bildschirm:
Wenn Sie LS_JAVA_HOME verwenden (da JAVA_HOME veraltet ist), müssen Sie auch den Speicherort des gebündelten JDK in der System-PATH-Variablen angeben, und dieser Pfad muss auf den Ordner jdk\bin zeigen (im Gegensatz zur LS_JAVA_HOME-Variablen):
Wenn Sie LS_JAVA_HOME verwenden (da JAVA_HOME veraltet ist), müssen Sie auch den Speicherort des gebündelten JDK in der System-PATH-Variablen angeben, und dieser Pfad muss auf den Ordner jdk\bin zeigen (im Gegensatz zur LS_JAVA_HOME-Variablen):
Microsoft Sentinel-Arbeitsmappe überprüfen
Um zu bestätigen, ob von Citrix Analytics gesendete Daten erfolgreich in die entsprechende benutzerdefinierte Protokolltabelle im Log Analytics-Arbeitsbereich eingegeben wurden (Weitere Informationen zur Integration von Microsoft Sentinel mit Citrix Analytics finden Sie unter Microsoft Sentinel-Integration):
- Navigieren Sie zu Azure-Portal > Microsoft Sentinel > entsprechenden_Arbeitsbereich auswählen > Datenkonnektoren > wählen und klicken Sie auf Citrix Security Analytics.
-
Überprüfen Sie die obere Leiste, um den Konnektivitätsstatus zu verifizieren.
-
Unter den Arbeitsmappen können Sie intuitive Filter verwenden, um die Daten weiter zu analysieren und Informationen zu Risikoindikatoren zu erhalten. Um die Informationen zu erhalten, navigieren Sie zu Azure-Portal > Microsoft Sentinel > Datenkonnektoren > CITRIX SECURITY ANALYTICS > Arbeitsmappen.
Log Analytics-Arbeitsbereichsprotokolle mit KQL überprüfen
Sie können auch überprüfen, ob die korrekten Daten in Ihren Log Analytics-Arbeitsbereich gelangt sind, indem Sie KQL-Abfragen für die jeweiligen benutzerdefinierten Protokolltabellen ausführen.
-
Navigieren Sie zu Azure-Portal > Log Analytics-Arbeitsbereiche und suchen Sie nach dem richtigen Arbeitsbereich.
-
Wählen Sie im linken Bereich Protokolle aus und suchen Sie unter der Registerkarte Tabellen nach der benutzerdefinierten Log Analytics-Tabelle.
-
Wählen Sie die benutzerdefinierte Log Analytics-Tabelle aus und klicken Sie auf Im Editor verwenden. (Anleitungen zu KQL-Abfragen im Log Analytics-Arbeitsbereich finden Sie unter Log Analytics-Tutorial).
-
Klicken Sie auf Ausführen.
