Azure-Sentinel中vCenter解析器对用户登录/登出事件的优化解析

事件解析问题的背景

在Azure-Sentinel的日志分析场景中，vCenter解析器在处理特定格式的VMware vCenter用户登录(UserLoginSessionEvent)和登出(UserLogoutSessionEvent)事件时存在解析缺陷。这个问题主要影响两类情况：

1. 当登出事件中的"API调用次数(number of API invocations)"字段值包含逗号分隔符时，解析器无法正确识别该数值
2. 当用户字段格式不符合标准"domain\username@ip"模式时，解析器会丢失关键字段信息

问题技术细节分析

API调用次数解析问题

原始解析器在处理登出事件时，假设API调用次数字段总是整数格式。然而实际环境中，当调用次数较大时(如1,024次)，vCenter会输出包含千分位分隔符的格式。这导致解析器无法正确提取该字段值，进而影响后续字段的解析。

用户字段格式兼容性问题

vCenter事件中的用户标识存在两种格式：

• 标准格式：domain\username@ip
• 简化格式：username@ip

原始解析器仅能正确处理标准格式，当遇到简化格式时，由于缺乏域名字段，会导致解析失败，丢失用户名、源IP等重要信息。

解决方案实现

经过技术团队分析，提供了优化后的KQL解析查询，主要改进点包括：

动态类型处理API调用次数

parse Message with * "[User " DomainName:string "\\" Username:string "@" SourceIP " logged out (login time:" LoginTime:string ", number of API invocations: " APIInvocationCount:dynamic ", user agent:" UserAgent:string ")]" *

使用dynamic类型而非固定类型，可以兼容包含逗号的数值格式。

双重解析策略处理用户字段

| parse Message with * "[User " DomainName:string "\\" Username:string "@" SourceIP " logged in as " UserAgent:string "]" *
| extend DomainName = iff(isnull(DomainName), "", DomainName)
| extend Username = iff(isnull(Username), DomainName, Username)
| parse Message with * "[User " Username:string "@" SourceIP " logged in as " UserAgent:string "]" *

采用两次解析尝试，先尝试标准格式，再尝试简化格式，并通过条件判断确保字段完整性。

实施效果验证

优化后的解析器能够正确处理以下场景：

• 包含逗号分隔符的API调用次数(如"1,024")
• 标准格式用户标识(domain\user@ip)
• 简化格式用户标识(user@ip)
• 混合格式的事件日志

最佳实践建议

对于使用vCenter日志分析的安全团队，建议：

1. 定期检查解析器是否捕获了所有vCenter事件类型
2. 建立测试用例验证边界场景(如特殊字符、非常规格式)
3. 监控解析失败的事件数量，及时发现格式变更
4. 考虑vCenter版本升级可能带来的日志格式变化

此解决方案显著提升了vCenter日志分析的准确性和完整性，为安全监控提供了更可靠的数据基础。