Conseils de résolution des problèmes liés à l’intégration de Sentinel via Logstash
Cet article répertorie les conseils à suivre pour résoudre un problème que vous pourriez rencontrer lorsque vous intégrez Microsoft Sentinel à Citrix Analytics à l’aide de Logstash. Pour en savoir plus à ce sujet, consultez l’ intégration SIEM à l’aide de Kafka ou d’un connecteur de données basé sur Logstash.
Vérifiez les journaux du serveur Logstash
Vous pouvez consulter les journaux du serveur Logstash qui apparaissent dans la fenêtre de votre terminal pour vérifier si les données ont été correctement ingérées dans les tables de journaux personnalisées de votre espace de travail Sentinel.
-
Pour consulter les détails du journal, vous devez télécharger le fichier de configuration Logstash depuis Paramètres > Exportations de données > onglet Configuration **** développer l’environnementSIEM. DansAzure Sentinel (version préliminaire), cliquez surTélécharger le fichier de configuration Logstash.
-
Une fois que vous avez démarré le serveur Logstash à l’aide du fichier de configuration, vous pouvez consulter les journaux suivants dans la même fenêtre de terminal qui indiquent une connexion réussie avec l’espace de travail Log Analytics hébergé par Microsoft Azure.
Erreur courante : utilisation du JDK intégré
Lorsque vous essayez d’installer le plug-in Microsoft Log Analytics, une erreur courante est signalée ci-dessous :
Ensuite, lorsque vous essayez d’exécuter le serveur Logstash, l’erreur suivante peut s’afficher :
Pour résoudre ce problème, définissez JAVA_HOME sur le JDK intégré :
- Accédez aux variables d’environnement Windows
- Créez une nouvelle variable système avec le nom « JAVA_HOME »
- < path_to_logstash >Ajoutez le chemin vers le JDK Logstash intégré (/Logstash-x.x.x/JDK)
Après avoir suivi les étapes ci-dessus, lorsque vous essayez à nouveau d’installer le plug-in, l’écran suivant s’affiche :
Si vous utilisez LS_JAVA_HOME (car JAVA_HOME est obsolète), vous devez également spécifier l’emplacement du JDK intégré dans la variable système PATH, et ce chemin doit pointer vers le dossier jdk \ bin (contrairement à la variable LS_JAVA_HOME) :
Si vous utilisez LS_JAVA_HOME (car JAVA_HOME est obsolète), vous devez également spécifier l’emplacement du JDK intégré dans la variable système PATH, et ce chemin doit pointer vers le dossier jdk \ bin (contrairement à la variable LS_JAVA_HOME) :
Consultez le classeur Microsoft Sentinel
Pour vérifier si les données envoyées par Citrix Analytics ont bien été saisies dans la table de journal personnalisée appropriée dans l’espace de travail Log Analytics (pour en savoir plus sur l’intégration de Microsoft Sentinel à Citrix Analytics, consultez l’intégration de Microsoft Sentinel) :
- Accédez auportail Azure > Microsoft Sentinel > Select appropriate_workspace > Connecteurs de données > sélectionnez et cliquez sur Citrix** Security Analytics.**
-
Consultez la barre supérieure pour vérifier l’état de la connectivité.
-
Dans les classeurs, vous pouvez utiliser des filtres intuitifs pour approfondir les données afin d’obtenir des informations sur les indicateurs de risque. Pour obtenir les informations, accédez au portail Azure > Microsoft Sentinel > Connecteurs de données > CITRIX SECURITY ANALYTICSClasseurs.
Vérifiez les journaux de l’espace de travail Log Analytics avec KQL
Vous pouvez également vérifier si les données correctes ont été transmises à votre espace de travail LogAnalytics en exécutant des requêtes KQL sur les tables de journaux personnalisées respectives.
-
Accédez au portail Azure > Espaces de travail Log Analytics et recherchez l’espace de travail approprié.
-
Dans le panneau de gauche, sélectionnez Journaux et recherchez le tableau d’analyse des journaux personnalisé sous l’onglet Tableaux .
-
Sélectionnez le tableau d’analyse des journaux personnalisé et cliquez sur Utiliser dans l’éditeur. (Pour obtenir des conseils sur les requêtes KQL dans l’espace de travail Log Analytics, consultez le didacticiel Log Analytics).
-
Cliquez sur Exécuter.
