Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics

Mnoho aplikací protokoluje data do textových souborů místo standardních služeb protokolování, jako je protokol událostí systému Windows nebo Syslog. Pomocí agenta Log Analytics můžete shromažďovat data v textových souborech nestandardních formátů z počítačů s Windows i Linuxem. Po shromáždění můžete data analyzovat do jednotlivých polí v dotazech nebo extrahovat data během shromažďování do jednotlivých polí.

Tento článek popisuje, jak připojit zdroje dat k Microsoft Sentinelu pomocí vlastních formátů protokolů. Další informace o podporovaných datových konektorech, které používají tuto metodu, najdete v referenčních informacích k datovým konektorům.

Důležité

Agent Log Analytics bude vyřazen 31. srpna 2024. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA. Další informace najdete v tématu Migrace AMA pro Microsoft Sentinel.

Další informace o vlastních protokolech najdete v dokumentaci ke službě Azure Monitor.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Instalace agenta Log Analytics

Nainstalujte agenta Log Analytics na počítač s Linuxem nebo Windows, který bude generovat protokoly.

Někteří dodavatelé místo přímo na zařízení doporučují instalaci agenta Log Analytics na samostatný server protokolů. Projděte si část produktu na referenční stránce datových konektorů nebo vlastní dokumentaci k vašemu produktu.

V závislosti na tom, jestli je váš konektor součástí řešení uvedeného v centru obsahu služby Microsoft Sentinel, nebo ne, vyberte níže příslušnou kartu.

Ze stránky konkrétního datového konektoru

Než začnete, nainstalujte řešení pro produkt z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu. Jakmile je datový konektor pro produkt dostupný, pokračujte následujícím postupem.

1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

2. Vyhledejte a vyberte příslušný datový konektor produktu.

3. Vyberte Otevřít stránku konektoru.

4. Nainstalujte a připojte agenta do zařízení, které generuje protokoly. Podle potřeby zvolte Linux nebo Windows.

   Typ počítače	Pokyny
   Pro virtuální počítač Azure s Linuxem	V části Zvolte, kam chcete nainstalovat agenta linuxu, rozbalte možnost Instalovat agenta na virtuálním počítači Azure s Linuxem. Vyberte odkaz Stáhnout a nainstalovat agenta pro virtuální počítače Azure s Linuxem > . V okně Virtuální počítače vyberte virtuální počítač, na který chcete agenta nainstalovat, a pak vyberte Připojení. Tento krok opakujte pro každý virtuální počítač, který chcete připojit.
   Pro jakýkoli jiný počítač s Linuxem	V části Zvolte, kam chcete nainstalovat agenta Pro Linux, rozbalte možnost Install agent on a non-Azure Linux Machine. Vyberte odkaz Stáhnout a nainstalovat agenta pro počítače > mimo Azure s Linuxem. V okně Správa agentů vyberte kartu Servery s Linuxem a zkopírujte příkaz ke stažení a nasazení agenta pro Linux a spusťte ho na počítači s Linuxem. Pokud chcete zachovat místní kopii instalačního souboru agenta pro Linux, vyberte odkaz Stáhnout agenta pro Linux nad příkazem Stáhnout a připojit agenta.
   Pro virtuální počítač Azure s Windows	V části Zvolte, kde chcete nainstalovat agenta pro Windows, rozbalte možnost Instalovat agenta na virtuálním počítači Azure s Windows. Vyberte odkaz Stáhnout a nainstalovat agenta pro virtuální počítače > Azure s Windows. V okně Virtuální počítače vyberte virtuální počítač, na který chcete agenta nainstalovat, a pak vyberte Připojení. Tento krok opakujte pro každý virtuální počítač, který chcete připojit.
   Pro jakýkoli jiný počítač s Windows	V části Zvolte, kde chcete nainstalovat agenta pro Windows, rozbalte možnost Instalovat agenta na počítač s Windows mimo Azure. Vyberte odkaz Stáhnout a nainstalovat agenta pro počítače > mimo Azure s Windows. V okně Správa agentů na kartě Servery s Windows vyberte odkaz Stáhnout agenta systému Windows pro 32bitové nebo 64bitové systémy podle potřeby.

Jiné zdroje dat

1. V navigační nabídce Služby Microsoft Sentinel vyberte Nastavení a pak kartu Nastavení pracovního prostoru.

2. Nainstalujte a připojte agenta do zařízení, které generuje protokoly. Podle potřeby zvolte Linux nebo Windows.

   Typ počítače	Pokyny
   Virtuální počítač Azure (Windows nebo Linux)	V navigační nabídce pracovního prostoru služby Log Analytics vyberte Virtuální počítače. V okně Virtuální počítače vyberte virtuální počítač, na který chcete agenta nainstalovat, a pak vyberte Připojení. Tento krok opakujte pro každý virtuální počítač, který chcete připojit.
   Jakýkoli jiný počítač s Windows nebo Linuxem	V navigační nabídce pracovního prostoru služby Log Analytics vyberte Správa agentů. Podle potřeby vyberte kartu Servery s Windows nebo Servery s Linuxem. Pro Windows vyberte odkaz Stáhnout agenta systému Windows pro 32bitové nebo 64bitové systémy podle potřeby. V případě Linuxu zkopírujte příkaz ke stažení a onboardingu agenta pro Linux a spusťte ho z příkazového řádku nebo vyberte odkaz Stáhnout agenta pro Linux a stáhněte si místní kopii instalačního souboru.

Konfigurace protokolů, které se mají shromažďovat

Mnoho typů zařízení má své vlastní datové konektory, které se zobrazují na stránce Datové konektory v Microsoft Sentinelu. Některé z těchto konektorů vyžadují ke správnému nastavení shromažďování protokolů v Microsoft Sentinelu speciální další pokyny. Tyto pokyny mohou zahrnovat implementaci analyzátoru založeného na funkci Kusto.

Všechny konektory uvedené v Microsoft Sentinelu zobrazí všechny konkrétní pokyny na příslušných stránkách konektoru na portálu a také v oddílech referenční stránky datových konektorů Microsoft Sentinelu.

Pokud váš produkt nemá řešení s datovým konektorem uvedeným v Centru obsahu, pokyny ke konfiguraci protokolování pro vaše zařízení najdete v dokumentaci dodavatele.

Konfigurace agenta Log Analytics

1. Na stránce konektoru vyberte odkaz Otevřít vlastní protokoly pracovního prostoru.

   Nebo v navigační nabídce pracovního prostoru služby Log Analytics vyberte Vlastní protokoly.

2. Na kartě Vlastní tabulky vyberte Přidat vlastní protokol.

3. Na kartě Ukázka nahrajte ze zařízení ukázku souboru protokolu (např. access.log nebo error.log). Pak vyberte Další.

4. Na kartě Oddělovač záznamů vyberte oddělovač záznamů, buď nový řádek, nebo časové razítko (viz pokyny na této kartě) a vyberte Další.

5. Na kartě Cesty ke kolekci vyberte typ cesty systému Windows nebo Linux a zadejte cestu k protokolům vašeho zařízení na základě vaší konfigurace. Pak vyberte Další.

6. Zadejte název vlastního protokolu a volitelně i popis a vyberte Další.
   Nezakončí vaše jméno "_CL", protože se připojí automaticky.

Vyhledání dat

Pokud chcete dotazovat vlastní data protokolu v protokolech, zadejte do okna dotazu název, který jste zadali vlastní protokol (končící na "_CL").

Další kroky

V tomto dokumentu jste zjistili, jak shromažďovat data z vlastních typů protokolů do ingestování do Služby Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Pomocí sešitů můžete monitorovat data.