مشاركة عبر

[مهمل] جمع البيانات من المصادر المستندة إلى Linux باستخدام Syslog

  • مقالة

هام

يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع البحث عن موصل بيانات Microsoft Sentinel.

تنبيه

تشير هذه المقالة إلى CentOS، توزيع Linux الذي وصل إلى حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

Syslog هو بروتوكول تسجيل أحداث شائع في Linux. يمكنك استخدام البرنامج الخفي Syslog المشمول في الأجهزة وأجهزة Linux لجمع الأحداث المحلية من الأنواع التي تحددها، وارسل هذه الأحداث إلى Microsoft Azure Sentinel باستخدام عامل Log Analytics لنظام Linux (المعروف سابقا باسم عامل OMS).

توضح هذه المقالة كيفية توصيل مصادر البيانات الخاصة بك بـ Microsoft Azure Sentinel باستخدام Syslog. لمزيد من المعلومات بشأن موصلات البيانات المدعومة التي تستخدم هذه الطريقة، انظرمرجع موصلات البيانات.

تعرف على كيفية جمع Syslog مع عامل Azure Monitor، بما في ذلك كيفية تكوين Syslog وإنشاء DCR.

هام

سيتم إيقاف عامل Log Analytics في 31 أغسطس 2024. إذا كنت تستخدم عامل Log Analytics في عملية توزيع Microsoft Azure Sentinel، فإننا نوصيك بالبدء في التخطيط لترحيلك إلى AMA. لمزيد من المعلومات، راجع ترحيل AMA لـMicrosoft Sentinel.

للحصول على معلومات حول نشر سجلات Syslog باستخدام عامل Azure Monitor، راجع خيارات دفق السجلات بتنسيق CEF وSyslog إلى Microsoft Sentinel.

بناء الأنظمة

عند تثبيت وكيل Log Analytics على الجهاز الظاهري أو الجهاز، يقوم البرنامج النصي للتثبيت بتكوين البرنامج الخفي لسجل Syslog المحلي لإعادة توجيه الرسائل إلى الوكيل على منفذ UDP 25224. بعد تلقي الرسائل، يرسلها العامل إلى مساحة عمل Log Analytics عبر HTTPS، حيث يتم استيعابها في جدول Syslog فيMicrosoft Azure Sentinel>سجلات.

لمزيد من المعلومات، انظرمصادر البيانات Syslog في Azure Monitor.

يوضح هذا الرسم التخطيطي تدفق البيانات من مصادر سجل النظام إلى مساحة عمل Microsoft Azure Sentinel، حيث يتم تثبيت وكيل Log Analytics مباشرةً على جهاز مصدر البيانات.

بالنسبة لبعض أنواع الأجهزة التي لا تسمح بالتثبيت المحلي لوكيل Log Analytics، يمكن تثبيت الوكيل بدلاً من ذلك على معيد توجيه مخصص يسند إلى Linux. يجب تكوين الجهاز الأصلي لإرسال أحداث Syslog إلى البرنامج الخفي لـ Syslog على معيد التوجيه هذا بدلاً من البرنامج الخفي المحلي. يرسل برنامج Syslog الخفي على معيد التوجيه الأحداث إلى وكيل Log Analytics عبر UDP. إذا كان من المتوقع جمع معيد توجيه Linux هذا قدرًا كبيرًا من أحداث Syslog، فإن البرنامج الخفي لـ Syslog يرسل الأحداث إلى الوكيل عبر TCP بدلاً من ذلك. في كلتا الحالتين، يرسل الوكيل الأحداث من هناك إلى مساحة عمل Log Analytics في Microsoft Azure Sentinel.

يوضح هذا الرسم التخطيطي تدفق البيانات من مصادر سجل النظام إلى مساحة عمل Microsoft Azure Sentinel، حيث يتم تثبيت وكيل Log Analytics على جهاز منفصل لإعادة توجيه السجلات.

إشعار

  • إذا كان الجهاز يدعمتنسيق الحدث المشترك (CEF) خلال Syslog، يتم جمع مجموعة بيانات أكثر اكتمالا، ويتم تحليل البيانات عند التجميع. يجب عليك اختيار ذلك الخيار واتباع الإرشادات الواردة فيالحصول على سجلات بتنسيق CEF من جهازك أو جهازك إلى Microsoft Azure Sentinel.

  • تدعم التحليلات المتعلقة بالسجل جمع الرسائل التي ترسلها برامج⁧⁩rsyslog⁧⁩أو⁧⁩syslog-ng⁧⁩الخفية، حيث يكون rsyslog هو الافتراضي. لا يتماعتمادsyslog الخفي الافتراضي على الإصدار 5 من Red Hat المؤسسة لينكس (RHEL)، CentOS، وإصدار أوراكل لينكس(sysklog) لجمع الحدث syslog. لتجميع بيانات syslog من هذا الإصدار لأنظمة التشغيل هذه، يجب تثبيت البرنامج الخفي rsyslog وتكوينه ليحل محل sysklog.

توجد ثلاث خطوات لتكوين مجموعة Syslog:

  • تكوين جهاز أو تطبيق Linux الخاص بك. يشير هذا إلى الجهاز الذي سيتم تثبيت وكيل Log Analytics عليه، سواء كان نفس الجهاز الذي يُنشئ الأحداث أو مُجمع السجلات الذي سيعيد توجيهها.

  • تكوين إعدادات سجيل التطبيق الخاص بكالمقابلة لموقع البرنامج الخفي Syslog الذي سيرسل الأحداث إلى العامل.

  • تكوين العامل Log Analytics نفسه. يتم ذلك من داخل Microsoft Azure Sentinel، ويتم إرسال التكوين إلى جميع الوكلاء المثبتين.

المتطلبات الأساسية

قبل البدء، قم بتثبيت الحل ل Syslog من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

تكوين جهاز أو تطبيق Linux الخاص بك

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. من معرض الموصلات، قم بتحديدSyslogثم حددفتح صفحة الموصل.

    إذا كان نوع جهازك تم إدراجه فيمعرض موصلات بيانات Microsoft Azure Sentinel، فاختر الموصل لجهازك بدلا من موصل Syslog العام. إذا كانت توجد إرشادات إضافية أو خاصة لنوع جهازك، فسترى هذه الإرشادات، جنبًا إلى جنب مع المحتوى المخصص مثل المصنفات وقوالب قواعد التحليلات، على صفحة الموصل لجهازك.

  3. قم بتثبيت وكيل Linux. ضمناختيار مكان التثبيت للعامل:

    نوع الجهاز الإرشادات
    بالنسبة إلى Azure Linux VM 1. قم بتوسيعInstall agent على الجهاز الظاهري Azure Linux.

    2. حدد رابط تنزيل وتثبيت عامل لأجهزة Azure Linux الظاهرية > .

    3. في جزء الأجهزة الظاهرية، حدد جهازًا ظاهريًا لتثبيت العامل عليه، ثم حدد اتصال. كرر هذه الخطوة لكل جهاز افتراضي تريد توصيله.
    لأي جهاز Linux آخر 1. قم بتوسيعتثبيت عامل على جهاز غير Azure Linux

    2. حدد رابط تنزيل وتثبيت عامل لأجهزة > Linux غير Azure.

    3. فيAgents management، قم بتحديد علامة التبويبLinux servers، ثم انسخ الأمر Download and onboard agent for Linux وقم بتشغيله على جهاز Linux الخاص بك.

    إذا كنت تريد الاحتفاظ بنسخة محلية من ملف تثبيت عامل Linux، فحدد الرابط Download Linux Agent أعلى أمر "Download and onboard agent".

    إشعار

    تأكد من تكوين الإعدادات المتعلقة بالأمان لهذه الأجهزة وفقًا لسياسة أمان مؤسستك. على سبيل المثال، يمكنك تكوين إعدادات الشبكة لتتماشى مع سياسة أمان الشبكة الخاصة بمؤسستك وتغيير المنافذ والبروتوكولات في البرنامج الخفي للتوافق مع متطلبات الأمان.

قم باستخدام نفس الجهاز لإعادة توجيه كل من رسائل SyslogوCEF العادية

يمكنك استخدامجهاز معاد توجيه سجل CEFالحالي لكافة السجلات وإعادة توجيهها من مصادر Syslog العادية أيضاً. ومع ذلك، يجب عليك تنفيذ الخطوات التالية لتجنب إرسال الأحداث بكلا التنسيقين إلى Microsoft Azure Sentinel، حيث سيؤدي ذلك إلى تكرار الأحداث.

بعد الإعدادتجميع البيانات بالفعل من مصادر CEF الخاصة بك، وتكوين العامل Log Analytics:

  1. على كل جهاز يرسل سجلات بتنسيق CEF، يجب عليك تحرير ملف تكوين Syslog لإزالة التسهيلات التي يتم استخدامها لإرسال رسائل CEF. بهذه الطريقة، لن يتم أيضًا إرسال التسهيلات التي يتم إرسالها في CEF في Syslog. انظرتكوين Syslog على عامل Linux للحصول على إرشادات مفصلة بشأن طريقة القيام بذلك.

  2. يجب عليك تشغيل الأمر التالي على تلك الأجهزة لتعطيل مزامنة العامل مع تكوين Syslog في Microsoft Azure Sentinel. وهذا يشمل عدم الكتابة فوق تغيير التكوين الذي أجريته في الخطوة السابقة.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable

تكوين إعدادات التسجيل الخاصة بجهازك

العديد من أنواع الأجهزة لها موصلات البيانات الخاصة بها تظهر في صفحةData connectorsفي Microsoft Azure Sentinel. تتطلب بعض هذه الموصلات إرشادات إضافية خاصة لإعداد مجموعة السجلات بشكل صحيح في Microsoft Azure Sentinel. يمكن أن تتضمن هذه التعليمات تنفيذ المحلل اللغوي بناءً على وظيفة Kusto.

ستعرض كافة الموصلات المدرجة في Microsoft Azure Sentinel أي إرشادات محددة على صفحات الموصل الخاصة بها في المدخل، وكذلك في أقسامها من صفحةمرجع موصلات بيانات Microsoft Azure Sentinel.

إذا كانت الإرشادات الموجودة على صفحة موصل البيانات في Microsoft Azure Sentinel تشير إلى أنه يتم نشر وظائف Kusto كتحليلاتلنموذج معلومات الأمان المتقدمة (ASIM)، فتأكد من نشر محللات ASIM في مساحة العمل الخاصة بك.

استخدم الارتباط الموجود في صفحة موصل البيانات لنشر المحللات الخاصة بك، أو اتبع الإرشادات الواردة من مستودع Microsoft Azure Sentinel GitHub.

لمزيد من المعلومات، انظرمحللات نموذج معلومات الأمان المتقدمة (ASIM).

تكوين وكيل تحليلات السجل

  1. في الجزء السفلي من شفرة موصل Syslog، حدد الرابطOpen your workspace agents configuration >.

  2. في صفحة Legacy agents management ، أضف مرافق الموصل لتجميعها. قم بتحديدAdd facilityواختر من القائمة المنسدلة للمرافق.

    • أضف التسهيلات التي يتضمنها جهاز سجل النظام الخاص بك في رؤوس السجلات الخاصة به.

    • إذا كنت ترغب في استخدام الكشف عن تسجيل دخول SSH الشاذ مع البيانات التي تجمعها، قم بإضافةauthوauthpriv. انظرالمقطع التاليللحصول على تفاصيل إضافية.

  3. عندما تقوم بإضافة كافة التسهيلات التي تريد مراقبتها، قم بإلغاء تحديد خانات الاختيار الخاصة بأي خطورة لا تريد جمعها. بشكل افتراضي يتم تمييزها جميعًا.

  4. حدد تطبيق.

  5. على جهاز VM أو جهازك، تأكد من إرسال التسهيلات التي حددتها.

العثور على بياناتك

  1. للاستعلام عن بيانات السجل syslog فيالسجلات، اكتبSyslog في نافذة الاستعلام.

    (قد تخزن بعض الموصلات التي تستخدم آلية Syslog بياناتها في جداول أخرى غير Syslog. راجع قسم الموصل في الصفحةالمرجعية لموصلات بيانات Microsoft Azure Sentinel.)

  2. يمكنك استخدام معلمات الاستعلام الموضحة فياستخدام الدالات في استعلامات السجل Azure Monitorلتحليل رسائل Syslog. يمكنك بعد ذلك حفظ الاستعلام كوظيفة جديدة لتحليلات السجلات واستخدامها كنوع بيانات جديد.

قم بتكوين موصل Syslog لاكتشاف تسجيل الدخول غير الطبيعي عبر SSH

هام

الكشف عن التسجيل للدخول إلى SSH غير المألوف قيدالمعاينة حالياً. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن لـ Microsoft Azure Sentinel تطبيق التعلم الآلي (ML) على بيانات سجل النظام لتحديد نشاط تسجيل الدخول غير العادي لـ Secure Shell (SSH). تتضمن السيناريوهات:

  • السفر المستحيل- عند حدوث حدثين ناجحين لتسجيل الدخول من موقعين يستحيل الوصول إليهما تبع الإطار الزمني لحدثي تسجيل الدخول.

  • الموقع الغير المتوقع- الموقع الذي حدث منه الحدث المتعلق بتسجيل دخول ناجح مريب. على سبيل المثال، لم يتم الاطلاع على الموقع مؤخرًا.

يتطلب هذا الاكتشاف تكوينًا محددًا لموصل بيانات Syslog:

  1. بالنسبة للخطوة 2 ضمنتكوين عامل Log Analyticsأعلاه، تأكد من تحديد كل منauthوauthprivعلى أنه مرافق للمراقبة، ومن تحديد كافة الخطورة.

  2. السماح بالوقت الكافي من أجل جمع معلومات سجل النظام. بعد ذلك، انتقل إلىMicrosoft Azure Sentinel - السجلات، وانسخ الاستعلام التالي والصقه:

    Syslog
| where Facility in ("authpriv","auth")
| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
| where isnotempty(c)
| count

    قم بتغييرالنطاق الزمنيإذا لزم الأمر، وقم بتحديدتشغيل.

    إذا كان العدد الناتج صفرًا، فتأكد من تكوين الموصل وأن أجهزة الكمبيوتر المراقب لديها نشاط تسجيل دخول ناجح للفترة الزمنية التي حددتها لاستعلامك.

    إذا كان العدد الناتج أكبر من الصفر، فستكون بيانات سجل النظام مناسبة لاكتشاف تسجيل دخول غير طبيعي عبر SSH. يمكنك تمكين هذا الكشف منالتحليلات>قوالب قاعدة>(معاينة) الكشف عن تسجيل الدخول SSH الشاذ.

الخطوات التالية

في هذا المستند، تعلمت طريقة توصيل أجهزة Syslog المحلية بـ Microsoft Azure Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: