Guía de solución de problemas para la integración de Sentinel a través de Logstash
En este artículo se enumeran los consejos que debe detectar para resolver un problema que puede surgir al integrar Microsoft Sentinel con Citrix Analytics mediante Logstash. Para obtener más información sobre el mismo, consulte Integración de SIEM mediante un conector de datos basado en Kafka o Logstash.
Compruebe los registros del servidor Logstash
Puede comprobar los registros del servidor Logstash que aparecen en la ventana de su terminal para comprobar si los datos se han incorporado correctamente en las tablas de registro personalizadas de su espacio de trabajo de Sentinel.
-
Para ver los detalles del registro, debe descargar el archivo de configuración de Logstash desde Configuración > Exportaciones de datos > pestaña Configuración **** expandir el entornoSIEM. EnAzure Sentinel (versión preliminar), haga clic enDescargar el archivo de configuración de Logstash.
-
Una vez que inicie el servidor Logstash con el archivo de configuración, podrá buscar los siguientes registros en la misma ventana de terminal que indican que se ha conectado correctamente con el espacio de trabajo de Log Analytics alojado en Microsoft Azure.
Error común: uso de JDK empaquetado
Al intentar instalar el complemento de análisis de registros de Microsoft, se informa de un error común que se muestra a continuación:
Después de esto, al intentar ejecutar el servidor Logstash, es posible que aparezca el siguiente error:
Para resolver este problema, defina JAVA_HOME en el JDK incluido:
- Ir a Variables de entorno de Windows
- Cree una nueva variable de sistema con el nombre «JAVA_HOME»
- < path_to_logstash >Añada la ruta al JDK Logstash incluido (/logstash-x.x.x/jdk)
Tras realizar los pasos anteriores, al intentar instalar de nuevo el complemento, aparece la siguiente pantalla:
Si usa LS_JAVA_HOME (ya que JAVA_HOME está en desuso), también debe especificar la ubicación del JDK incluido en la variable PATH del sistema, y esta ruta debe apuntar a la carpeta jdk\bin (a diferencia de la variable LS_JAVA_HOME):
Si usa LS_JAVA_HOME (ya que JAVA_HOME está en desuso), también debe especificar la ubicación del JDK incluido en la variable PATH del sistema, y esta ruta debe apuntar a la carpeta jdk\bin (a diferencia de la variable LS_JAVA_HOME):
Consulte el libro de trabajo de Microsoft Sentinel
Para confirmar si los datos enviados por Citrix Analytics se han introducido correctamente en la tabla de registro personalizada correspondiente del espacio de trabajo de Log Analytics (para obtener más información sobre la integración de Microsoft Sentinel con Citrix Analytics, consulte la integración de Microsoft Sentinel):
- Vaya al portal de Azure > Microsoft Sentinel > Seleccione appropriate workspace > Conectores de datos > seleccione Citrix Security Analytics y haga clic en él.
-
Compruebe la barra superior para comprobar el estado de la conectividad.
-
En los libros de trabajo, puede utilizar filtros intuitivos para profundizar en los datos y obtener la información del indicador de riesgo. Para obtener la información, vaya al portal de Azure > Microsoft Sentinel > Conectores de datos > CITRIX SECURITY ANALYTICS >Libros de trabajo.
Compruebe los registros del espacio de trabajo de Log Analytics con KQL
También puede comprobar si los datos correctos llegaron a su espacio de trabajo de LogAnalytics ejecutando consultas de KQL en las tablas de registro personalizadas respectivas.
-
Vaya al portal de Azure > Áreas de trabajo de Log Analytics y busque el espacio de trabajo correcto.
-
En el panel izquierdo, selecciona Registros y busca la tabla de análisis de registros personalizada en la pestaña Tablas.
-
Seleccione la tabla de análisis de registros personalizada y haga clic en Usar en el editor. (Para obtener información sobre las consultas de KQL en el espacio de trabajo de Log Analytics, consulte el tutorial de Log Analytics).
-
Haga clic en Ejecutar.