[Veraltet] Sammeln von Daten in benutzerdefinierten Protokollformaten bei Microsoft Sentinel mit dem Log Analytics-Agent
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Dieser Artikel beschreibt, wie Sie mithilfe des Log Analytics-Agenten Daten von Geräten, die benutzerdefinierte Protokollformate verwenden, für Microsoft Sentinel sammeln. Wie Sie mit dem Azure Monitor Agent (AMA) benutzerdefinierte Protokolle erfassen können, erfahren Sie unter Sammeln von Protokollen aus Textdateien mit dem Azure Monitor-Agent und Erfassen in Microsoft Sentinel.
Viele Anwendungen protokollieren Daten nicht in standardmäßigen Protokollierungsdiensten wie Windows-Ereignisprotokoll oder Syslog, sondern in Textdateien. Sie können den Log Analytics-Agent verwenden, um Daten in Textdateien mit nicht standardmäßigen Formaten von Windows- und Linux-Computern zu sammeln. Die erfassten Daten können entweder in Ihren Abfragen zu einzelnen Feldern aufgeschlüsselt oder während der Erfassung in einzelne Felder extrahiert werden.
Weitere Informationen über unterstützte Datenconnectors, die benutzerdefinierte Protokollformate erfassen, finden Sie in der Referenz zu Datenconnectors.
Wichtig
Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics Agent in Ihrer Microsoft Sentinel Bereitstellung verwenden, sollten Sie Ihre Migration auf den Azure Monitor Agent (AMA) abschließen. Weitere Informationen finden Sie unter AMA-Migration für Microsoft Sentinel.
Informationen zu benutzerdefinierten Protokollen finden Sie in der Azure Monitor-Dokumentation.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Installieren des Log Analytics-Agents
Installieren Sie den Log Analytics-Agent auf dem Linux- oder Windows Computer, der die Protokolle generiert.
Einige Anbieter empfehlen, den Log Analytics-Agent auf einem separaten Protokollserver, statt direkt auf dem Gerät zu installieren. Lesen Sie den Abschnitt Ihres Produkts auf der Referenzseite für Datenconnectors oder die eigene Dokumentation Ihres Produkts.
Wählen Sie unten die entsprechende Registerkarte aus, je nachdem, ob Ihr Connector Teil der im Content Hub von Microsoft Sentinel aufgeführten Lösung ist oder nicht.
Bevor Sie beginnen, installieren Sie die Lösung für das Produkt aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte. Sobald der Datenconnector für das Produkt verfügbar ist, fahren Sie mit den folgenden Schritten fort.
Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.
Suchen Sie nach dem entsprechenden Produktdatenconnector, und wählen Sie sie aus.
Wählen Sie Connectorseite öffnen aus.
Installieren und registrieren Sie den Agent auf dem Gerät, das die Protokolle generiert. Wählen Sie je nach Bedarf Linux oder Windows aus.
Computertyp Anweisungen Für eine Azure-Linux-VM - Erweitern Sie unter Wählen Sie aus, wo der Linux-Agent installiert werden soll die Option Agent auf virtuellem Linux-Computer in Azure installieren.
- Wählen Sie den Link Agent für virtuelle Linux-Computer (Azure) herunterladen und installieren > aus.
- Wählen Sie auf dem Blatt Virtuelle Computer eine VM aus, auf der der Agent installiert werden soll, und wählen Sie dann Verbinden aus. Wiederholen Sie diesen Schritt für jeden virtuellen Computer, den Sie verbinden möchten.
Für jeden weiteren Linux-Computer - Erweitern Sie unter Wählen Sie aus, wo der Linux-Agent installiert werden soll die Option Agent auf virtuellem Linux-Computer (kein Azure) installieren.
- Wählen Sie den Link Agent für Linux-Computer (kein Azure) herunterladen und installieren > aus.
- Klicken Sie auf dem Blatt Agent-Verwaltung auf die Registerkarte Linux-Server, kopieren Sie dann den Befehl für Agent für Linux herunterladen und Onboarding durchführen, und führen Sie ihn auf Ihrem Linux-Computer aus.
Wenn Sie eine lokale Kopie der Linux-Agent-Installationsdatei beibehalten möchten, klicken Sie auf den Link Linux-Agent herunterladen über dem Befehl „Agent herunterladen und integrieren“ aus.
Für einen virtuellen Windows-Computer in Azure - Erweitern Sie unter Wählen Sie aus, wo der Windows-Agent installiert werden soll die Option Agent auf virtuellem Windows-Computer in Azure installieren.
- Wählen Sie den Link Agent für virtuellen Windows-Computer in Azure herunterladen und installieren>.
- Wählen Sie auf dem Blatt Virtuelle Computer eine VM aus, auf der der Agent installiert werden soll, und wählen Sie dann Verbinden aus. Wiederholen Sie diesen Schritt für jeden virtuellen Computer, den Sie verbinden möchten.
Für alle anderen Windows-Computer - Erweitern Sie unter Wählen Sie aus, wo der Windows-Agent installiert werden soll die Option Agent auf Windows-Computer (kein Azure) installieren.
- Klicken Sie auf den Link Agent für Windows-Computer (kein Azure) herunterladen und installieren>.
- Wählen Sie auf dem Blatt Agent-Verwaltung auf der Registerkarte Windows-Server je nach Eignung den Link Windows-Agent herunterladen für 32-Bit- oder 64-Bit-Systeme aus.
- Erweitern Sie unter Wählen Sie aus, wo der Linux-Agent installiert werden soll die Option Agent auf virtuellem Linux-Computer in Azure installieren.
Konfigurieren der zu erfassenden Protokolle
Viele Gerätetypen haben ihre eigenen Datenkonnektoren, die auf der Seite Datenkonnektoren in Microsoft Sentinel erscheinen. Einige dieser Konnektoren erfordern spezielle zusätzliche Anweisungen, um die Protokollsammlung in Microsoft Sentinel ordnungsgemäß einzurichten. Diese Anweisungen können die Implementierung eines Parsers basierend auf einer Kusto-Funktion beinhalten.
Alle in Microsoft Sentinel aufgeführten Konnektoren zeigen auf ihren jeweiligen Konnektorenseiten im Portal sowie in ihren Abschnitten auf der Seite Microsoft Sentinel-Datenkonnektoren-Referenz spezifische Anweisungen an.
Wenn Ihr Produkt keine Lösung mit einem Datenconnector enthält, der im Content Hub aufgeführt ist, lesen Sie die Dokumentation Ihres Anbieters, um Anweisungen zum Konfigurieren der Protokollierung für Ihr Gerät zu erhalten.
Konfigurieren des Log Analytics-Agent
Wählen Sie auf der Connectorseite den Link Öffnen der Konfiguration der erweiterten Einstellungen Ihres Arbeitsbereichs aus.
Oder wählen Sie im Navigationsmenü des Log Analytics-Arbeitsbereichs die Option Benutzerdefinierte Protokolle aus.
Wählen Sie auf der Seite Benutzerdefinierte Tabellen die Option Benutzerdefiniertes Protokoll hinzufügen aus.
Laden Sie auf der Registerkarte Beispiel ein Beispiel einer Protokolldatei von Ihrem Gerät hoch (z. B. access.log oder error.log). Klicken Sie anschließend auf Weiter.
Wählen Sie in der Registerkarte Datensatztrennzeichen ein Datensatztrennzeichen aus – entweder Neue Zeile oder Zeitstempel (siehe Anleitung in dieser Registerkarte), und wählen Sie Weiter aus.
Wählen Sie auf der Registerkarte Sammlungspfade den Pfadtyp Windows oder Linux aus, und geben Sie den Pfad zu den Protokollen Ihres Geräts basierend auf Ihrer Konfiguration ein. Klicken Sie anschließend auf Weiter.
Geben Sie Ihrem benutzerdefinierten Protokoll einen Namen und optional eine Beschreibung, und wählen Sie Weiter aus.
Beenden Sie Ihren Namen nicht mit „_CL“, da diese Kennung automatisch angefügt wird.
Suchen von Daten
Geben Sie im Abfragefenster den Namen ein, den Sie Ihrem benutzerdefinierten Protokoll gegeben haben (der auf „_CL“ endet), um die benutzerdefinierten Protokolldaten in Protokolle abzufragen.
Nächste Schritte
In diesem Dokument haben Sie gelernt, wie Sie Daten aus benutzerdefinierten Protokolltypen sammeln, um sie in Microsoft Sentinel zu importieren. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.