Erfassen von Syslog- und CEF-Nachrichten zum Microsoft Sentinel mit dem Azure Monitor-Agent

In diesem Artikel erfahren Sie, wie Sie Syslog über AMA und CEF (Common Event Format) über AMA-Connectors verwenden, um Syslog- und CEF-Nachrichten von Linux Computern, Netzwerkgeräten und Sicherheitsappliances zu filtern und zu erfassen. Weitere Informationen zu diesen Datenconnectors finden Sie unter Syslog und common Event Format (CEF) über AMA-Connectors für Microsoft Sentinel.

Hinweis

Container Insights unterstützt die automatische Sammlung von Syslog-Ereignissen von Linux Knoten in Ihren AKS-Clustern. Weitere Informationen finden Sie unter Syslog-Sammlung mit Container Insights.

Voraussetzungen

Bevor Sie beginnen, müssen die Ressourcen konfiguriert und die entsprechenden Berechtigungen zugewiesen werden, wie in diesem Abschnitt beschrieben.

Microsoft Sentinel Voraussetzungen

Installieren Sie die entsprechende Microsoft Sentinel Lösung, und stellen Sie sicher, dass Sie über die Berechtigungen zum Ausführen der Schritte in diesem Artikel verfügen.

• Installieren Sie die entsprechende Lösung aus dem Inhaltshub in Microsoft Sentinel. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.

• Ermitteln Sie, welcher Datenconnector für die Microsoft Sentinel Lösung Syslog über AMA oder CEF (Common Event Format) über AMA erfordert, und ob Sie die Syslog- oder Common Event Format-Lösung installieren müssen. Um diese Voraussetzung zu erfüllen,

  • Wählen Sie im Inhaltshubdie Option Verwalten für die installierte Lösung aus, und überprüfen Sie den aufgeführten Datenconnector.

  • Wenn syslog über AMA oder CEF (Common Event Format) über AMA nicht mit der Lösung installiert ist, ermitteln Sie, ob Sie die Syslog- oder Common Event Format-Lösung installieren müssen, indem Sie Ihr Anwendung oder Gerät in einem der folgenden Artikel finden:

    • CEF über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung
    • Syslog über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung

    Installieren Sie dann entweder die Lösung Syslog oder das Allgemeine Ereignisformat aus dem Inhaltshub, um den zugehörigen AMA-Datenconnector abzurufen.

• Sie verfügen über ein Azure-Konto mit den folgenden rollenbasierten Zugriffssteuerungsrollen (Azure RBAC) Azure:

  Integrierte Rolle	Bereich	Grund
  - Mitwirkender für virtuelle Computer - Azure Verbundener Computer    Ressourcenadministrator	Virtuelle Computer (VM) VM-Skalierungssets Azure Arc-fähige Server	So stellen Sie den Agent bereit
  Jede Rolle, die die Aktion enthält Microsoft.Resources/deployments/*	Abonnement Ressourcengruppe Vorhandene Datensammlungsregel	So stellen Sie Azure Resource Manager Vorlagen bereit
  Mitwirkender an der Überwachung	Abonnement Ressourcengruppe Vorhandene Datensammlungsregel	So erstellen oder bearbeiten Sie Datensammlungsregeln

Voraussetzungen für die Protokollweiterleitung

Wenn Sie Nachrichten von einer Protokollweiterleitung sammeln, gelten die folgenden Voraussetzungen:

• Sie müssen über einen bestimmten Linux virtuellen Computer als Protokollweiterleitung verfügen, um Protokolle zu erfassen.

  • Erstellen Sie einen Linux virtuellen Computer im Azure-Portal.
  • Unterstützte Linux Betriebssysteme für Azure Monitor-Agent.

• Wenn ihre Protokollweiterleitung kein Azure virtuellen Computer ist, muss darauf der Agent Azure Arc Connected Machine installiert sein.

• Auf der Linux Protokollweiterleitungs-VM muss Python 2.7 oder 3 installiert sein. Verwenden Sie den python --version Befehl oder python3 --version , um dies zu überprüfen. Wenn Sie Python 3 verwenden, stellen Sie sicher, dass es als Standardbefehl auf dem Computer festgelegt ist, oder führen Sie Skripts mit dem Befehl "python3" anstelle von "python" aus.

• Für die Protokollweiterleitung muss entweder der syslog-ng Daemon oder rsyslog aktiviert sein.

• Informationen zu den Speicherplatzanforderungen für Ihre Protokollweiterleitung finden Sie unter Azure Monitor Agent Performance Benchmark. Sie können sich auch diesen Blogbeitrag ansehen, der Entwürfe für eine skalierbare Erfassung enthält.

• Ihre Protokollquellen, Sicherheitsgeräte und Appliances müssen so konfiguriert sein, dass ihre Protokollmeldungen an den Syslog-Daemon der Protokollweiterleitung und nicht an den lokalen Syslog-Daemon gesendet werden.

Hinweis

Bei der Bereitstellung des AMA in einer VM-Skalierungsgruppe (VMSS) wird dringend empfohlen, einen Lastenausgleich zu verwenden, der die Roundrobin-Methode unterstützt, um die Lastenverteilung auf alle bereitgestellten Instanzen sicherzustellen.

Voraussetzungen für die Computersicherheit

Konfigurieren Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihres organization. Konfigurieren Sie z. B. Ihr Netzwerk so, dass es an der Sicherheitsrichtlinie Ihres Unternehmensnetzwerks ausgerichtet ist, und ändern Sie die Ports und Protokolle im Daemon entsprechend Ihren Anforderungen. Um die Sicherheitskonfiguration Ihres Computers zu verbessern, sichern Sie Ihre VM in Azure, oder überprüfen Sie diese bewährten Methoden für die Netzwerksicherheit.

Wenn Ihre Geräte Syslog- und CEF-Protokolle über TLS senden, weil sich ihre Protokollweiterleitung z. B. in der Cloud befindet, müssen Sie den Syslog-Daemon (rsyslog oder syslog-ng) für die Kommunikation in TLS konfigurieren. Weitere Informationen finden Sie unter:

• Verschlüsseln von Syslog-Datenverkehr mit TLS – rsyslog
• Verschlüsseln von Protokollmeldungen mit TLS – syslog-ng

Konfigurieren des Datenconnectors

Der Setupprozess für syslog über AMA oder CEF (Common Event Format) über AMA-Datenconnectors umfasst die folgenden Schritte:

1. Installieren Sie den Azure Monitor-Agent, und erstellen Sie eine Datensammlungsregel (Data Collection Rule, DCR) mit einer der folgenden Methoden:
   • Azure oder Defender-Portal
   • Azure Überwachen der Protokollerfassungs-API
2. Wenn Sie Protokolle von anderen Computern mithilfe einer Protokollweiterleitung sammeln, führen Sie das "Installationsskript" auf der Protokollweiterleitung aus, um den Syslog-Daemon so zu konfigurieren, dass er auf Nachrichten von anderen Computern lauscht und die erforderlichen lokalen Ports öffnet.

Wählen Sie die entsprechende Registerkarte aus, um Anweisungen zu erhalten.

Azure oder Defender-Portal

Erstellen einer Datensammlungsregel (DATA Collection Rule, DCR)

Öffnen Sie zunächst syslog über AMA oder CEF (Common Event Format) über den AMA-Datenconnector in Microsoft Sentinel und erstellen Sie eine Datensammlungsregel (Data Collection Rule, DCR).

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfigurationdie Option Datenconnectors aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsdatenconnectors> aus.

2. Geben Sie für Syslog den Suchbegriff Syslog in das Suchfeld ein. Wählen Sie in den Ergebnissen den Connector Syslog via AMA aus.
   Geben Sie für CEF den Suchbegriff CEF in das Suchfeld ein. Wählen Sie in den Ergebnissen den Connector Common Event Format (CEF) über AMA aus.

3. Wählen Sie im Detailbereich Connectorseite öffnen aus.

4. Wählen Sie im Bereich Konfigurationdie Option +Datensammlungsregel erstellen aus.

   

   

5. Auf der Registerkarte Basic :

   • Geben Sie einen DCR-Namen ein.
   • Wählen Sie Ihr Abonnement aus.
   • Wählen Sie die Ressourcengruppe aus, in der Sie Ihren DCR finden möchten.

   

6. Wählen Sie Weiter: Ressourcen >aus.

Definieren von VM-Ressourcen

Wählen Sie auf der Registerkarte Ressourcen die Computer aus, auf denen Sie den AMA installieren möchten– in diesem Fall Ihren Protokollweiterleitungscomputer. Wenn Ihre Protokollweiterleitung nicht in der Liste angezeigt wird, ist möglicherweise nicht der Azure Connected Machine-Agent installiert.

1. Verwenden Sie die verfügbaren Filter oder das Suchfeld, um Ihre Protokollweiterleitungs-VM zu finden. Erweitern Sie ein Abonnement in der Liste, um die zugehörigen Ressourcengruppen anzuzeigen, und eine Ressourcengruppe, um die zugehörigen VMs anzuzeigen.

2. Wählen Sie den virtuellen Protokollweiterleitungscomputer aus, auf dem Sie den AMA installieren möchten. Das Kontrollkästchen wird neben dem VM-Namen angezeigt, wenn Sie mit dem Mauszeiger darauf zeigen.

   

3. Überprüfen Sie Ihre Änderungen, und wählen Sie Weiter: Sammeln aus >.

Auswählen von Einrichtungen und Schweregraden

Beachten Sie, dass die Verwendung derselben Funktion für Syslog- und CEF-Nachrichten zu duplizieren der Datenerfassung führen kann. Weitere Informationen finden Sie unter Vermeidung von Datenerfassungsduplizierung.

1. Wählen Sie auf der Registerkarte Sammeln den Mindestprotokolliergrad für jede Einrichtung aus. Wenn Sie eine Protokollebene auswählen, sammelt Microsoft Sentinel Protokolle für die ausgewählte Ebene und andere Ebenen mit einem höheren Schweregrad. Wenn Sie beispielsweise LOG_ERR auswählen, sammelt Microsoft Sentinel Protokolle für die Ebenen LOG_ERR, LOG_CRIT, LOG_ALERT und LOG_EMERG.

   

2. Überprüfen Sie Ihre Auswahl, und wählen Sie Weiter: Überprüfen + erstellen aus.

Überprüfen und Erstellen der Regel

Nachdem Sie alle Registerkarten ausgefüllt haben, überprüfen Sie, was Sie eingegeben haben, und erstellen Sie die Datensammlungsregel.

1. Wählen Sie auf der Registerkarte Überprüfen und erstellendie Option Erstellen aus.

   

   Der Connector installiert den Azure Monitor-Agent auf den Computern, die Sie beim Erstellen Ihrer DCR ausgewählt haben.

2. Überprüfen Sie die Benachrichtigungen im Azure-Portal- oder Microsoft Defender-Portal, um festzustellen, wann die DCR erstellt und der Agent installiert ist.

3. Wählen Sie auf der Connectorseite Aktualisieren aus, um den in der Liste angezeigten DCR anzuzeigen.

Protokollerfassungs-API

Installieren des Azure Monitor-Agents

Befolgen Sie die entsprechenden Anweisungen in der Azure Monitor-Dokumentation, um den Azure Monitor-Agent auf Ihrer Protokollweiterleitung zu installieren. Denken Sie daran, die Anweisungen für Linux und nicht für Windows zu verwenden.

• Installieren des AMA mithilfe von PowerShell
• Installieren des AMA mithilfe der Azure CLI
• Installieren des AMA mithilfe einer Azure Resource Manager-Vorlage

Sie können Datensammlungsregeln (Data Collection Rules, DCRs) mithilfe der Azure-API für die Erfassung von Protokollen erstellen. Weitere Informationen finden Sie unter Datensammlungsregeln in Azure Monitor.

Erstellen der Datensammlungsregel

Erstellen Sie eine JSON-Datei für die Datensammlungsregel, erstellen Sie eine API-Anforderung, und senden Sie die Anforderung.

1. Bereiten Sie eine DCR-Datei im JSON-Format vor. Der Inhalt dieser Datei ist der Anforderungstext in Ihrer API-Anforderung.

   Ein Beispiel finden Sie unter Syslog/CEF DCR-Erstellungsanforderungstext. Informationen zum Sammeln von Syslog- und CEF-Nachrichten in derselben Datensammlungsregel finden Sie im Beispiel syslog- und CEF-Datenströme in derselben DCR.

   • Vergewissern Sie sich, dass das streams Feld für Syslog-Nachrichten auf Microsoft-Syslog oder für CEF-Nachrichten auf Microsoft-CommonSecurityLog festgelegt ist.
   • Fügen Sie die Filter- und Facility-Protokollebenen in den facilityNames Parametern und logLevels hinzu. Weitere Informationen finden Sie in den Abschnitten Beispiele für Einrichtungen und Protokollebenen.

2. Erstellen Sie eine API-Anforderung in einem REST-API-Client Ihrer Wahl.

   1. Kopieren Sie für die Anforderungs-URL und den Header die folgende Anforderungs-URL und den folgenden Header.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Ersetzen Sie die entsprechenden Werte durch die {subscriptionId} Platzhalter und {resourceGroupName} .
      • Geben Sie anstelle des Platzhalters einen Namen Ihrer Wahl für den {dataCollectionRuleName} DCR ein.

   2. Kopieren Sie für den Anforderungstext den Inhalt der DCR-JSON-Datei, die Sie (in Schritt 1 oben) erstellt haben, und fügen Sie ihn in den Anforderungstext ein.

3. Senden der Anfrage

   Ein Beispiel für die Antwort, die Sie erhalten sollten, finden Sie unter Syslog/CEF DCR-Erstellungsantwort.

Zuordnen des DCR zur Protokollweiterleitung

Nun müssen Sie eine DCR-Zuordnung (DCRA) erstellen, die den DCR mit der VM-Ressource verbindet, die Ihre Protokollweiterleitung hostet.

1. Erstellen Sie eine API-Anforderung in einem REST-API-Client Ihrer Wahl.

2. Kopieren Sie für die Anforderungs-URL und den Header die folgende Anforderungs-URL und den Header.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Ersetzen Sie die entsprechenden Werte für die {subscriptionId}Platzhalter , {resourceGroupName}und {virtualMachineName} .
   • Geben Sie anstelle des Platzhalters einen Namen Ihrer Wahl für den {dataCollectionRuleAssociationName} DCR ein.

3. Kopieren Sie für den Anforderungstext den folgenden Anforderungstext.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Ersetzen Sie die entsprechenden Werte durch die {subscriptionId} Platzhalter und {resourceGroupName} .
   • Geben Sie anstelle des Platzhalters einen Namen Ihrer Wahl für den {dataCollectionRuleName} DCR ein.

4. Senden der Anfrage

Beispiele für Abschnitte für Einrichtungen und Protokollebenen

Sehen Sie sich diese Beispiele der Einstellungen für Einrichtungen und Protokolliergrade an. Das name Feld enthält den Filternamen.

Für die CEF-Nachrichtenerfassung sollte der Wert für "streams" anstelle von lauten"Microsoft-Syslog""Microsoft-CommonSecurityLog".

In diesem Beispiel werden Ereignisse von den cronEinrichtungen , daemon, local3local0und uucp mit den WarningProtokollebenen , Error, Critical, Alertund Emergency gesammelt:

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Syslog- und CEF-Streams in derselben DCR

Dieses Beispiel zeigt, wie Sie Syslog- und CEF-Nachrichten in derselben DCR erfassen können.

Der DCR sammelt CEF-Ereignismeldungen für Folgendes:

• Die authpriv - und mark -Funktionen mit den InfoProtokollebenen , NoticeWarningError, , Critical, Alertund Emergency
• Die daemon Einrichtung mit den WarningProtokollebenen , ErrorCritical, , Alertund Emergency

Es sammelt Syslog-Ereignismeldungen für Folgendes:

• Die kern-, local0-, local5- und news -Funktionen mit den CriticalProtokollebenen , Alertund Emergency
• Die mail - und uucp -Einrichtungen mit Protokollebene Emergency

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Ausführen des Installationsskripts

Wenn Sie eine Protokollweiterleitung verwenden, konfigurieren Sie den Syslog-Daemon so, dass er auf Nachrichten von anderen Computern lauscht, und öffnen Sie die erforderlichen lokalen Ports.

1. Kopieren Sie auf der Connectorseite die Befehlszeile, die unter Ausführen des folgenden Befehls angezeigt wird, um den CEF-Collector zu installieren und anzuwenden:

   

   Oder kopieren Sie es hier:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Melden Sie sich bei dem Protokollweiterleitungscomputer an, auf dem Sie gerade den AMA installiert haben.

3. Fügen Sie den Befehl ein, den Sie im letzten Schritt kopiert haben, um das Installationsskript zu starten.
   Das Skript konfiguriert den Daemon oder syslog-ng für die rsyslog Verwendung des erforderlichen Protokolls und startet den Daemon neu. Das Skript öffnet Port 514, um eingehende Nachrichten sowohl im UDP- als auch im TCP-Protokoll zu lauschen. Informationen zum Ändern dieser Einstellung finden Sie in der Konfigurationsdatei des Syslog-Daemons entsprechend dem Daemontyp, der auf dem Computer ausgeführt wird:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Wenn Sie Python 3 verwenden und es nicht als Standardbefehl auf dem Computer festgelegt ist, ersetzen python3 Sie im eingefügten Befehl durch python . Weitere Informationen finden Sie unter Voraussetzungen für die Protokollweiterleitung.

   Hinweis

   Um Szenarien mit vollständigen Datenträgern zu vermeiden, in denen der Agent nicht funktioniert, empfehlen wir, die syslog-ng - oder rsyslog -Konfiguration so festzulegen, dass nicht benötigte Protokolle nicht gespeichert werden. Ein Volldatenträgerszenario unterbricht die Funktion des installierten AMA. Weitere Informationen finden Sie unter RSyslog oder Syslog-ng.

4. Überprüfen Sie die dienst status.

   Überprüfen Sie die status des AMA-Diensts auf Ihrer Protokollweiterleitung:

   sudo systemctl status azuremonitoragent.service
   

   Überprüfen Sie die status des rsyslog-Diensts:

   sudo systemctl status rsyslog.service
   

   Überprüfen Sie für syslog-ng-Umgebungen Folgendes:

   sudo systemctl status syslog-ng.service
   

Konfigurieren des Sicherheitsgeräts oder Anwendung

Anweisungen zum Konfigurieren Ihres Sicherheitsgeräts oder Anwendung finden Sie in einem der folgenden Artikel:

• CEF über AMA-Datenconnector: Konfigurieren bestimmter Appliances und Geräte für Microsoft Sentinel Datenerfassung
• Syslog über AMA-Datenconnector: Konfigurieren bestimmter Appliances und Geräte für Microsoft Sentinel Datenerfassung

Wenden Sie sich an den Lösungsanbieter, um weitere Informationen zu Ihrem Anwendung oder Gerät zu erfahren.

Testen des Connectors

Stellen Sie sicher, dass Protokollmeldungen von Ihrem Linux Computer oder sicherheitsrelevanten Geräten und Appliances in Microsoft Sentinel erfasst werden.

1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Syslog-Daemon auf dem UDP-Port ausgeführt wird und der AMA lauscht:

    netstat -lnptv
   

   Es sollte angezeigt werden, dass der rsyslog Daemon oder syslog-ng an Port 514 lauscht.

2. Führen Sie den folgenden Befehl im Hintergrund aus, um Nachrichten zu erfassen, die von einer Protokollierung oder einem verbundenen Gerät gesendet werden:

   sudo tcpdump -i any port 514 or 28330 -A -vv &
   

3. Nachdem Sie die Überprüfung abgeschlossen haben, beenden Sie tcpdump. Geben Sie ein fg, und drücken Sie dann STRG+C.

Senden von Testnachrichten

Führen Sie zum Senden von Demonachrichten einen der folgenden Schritte aus:

1. Verwenden Sie das nc Hilfsprogramm netcat. In diesem Beispiel liest das Hilfsprogramm Daten, die über den echo Befehl bereitgestellt wurden, wobei der Schalter "Zeilenumbruch" deaktiviert ist. Das Hilfsprogramm schreibt die Daten dann ohne Timeout in den UDP-Port 514 auf dem localhost. Zum Ausführen des Hilfsprogramms netcat müssen Sie möglicherweise ein anderes Paket installieren.

   echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
   

2. Verwenden Sie den logger Befehl. In diesem Beispiel wird die Nachricht im CEF-RFC-Format in die local 4 Einrichtung mit schwerem WarningSchweregrad zum Portieren 514von auf dem lokalen Host geschrieben. Die -t Flags und --rfc3164 werden verwendet, um das erwartete RFC-Format zu erfüllen.

   logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|rt=$common=event-formatted-receive_time"
   

   Testen Sie die Cisco ASA-Erfassung mit dem folgenden Befehl:

   echo -n "<164>%ASA-7-106010: Deny inbound TCP src inet:1.1.1.1 dst inet:2.2.2.2" | nc -u -w0 localhost 514
   

   Nachdem Sie diese Befehle ausgeführt haben, gelangen Nachrichten an Port 514 und werden an Port 28330 weitergeleitet.

3. Nachdem Sie Testnachrichten gesendet haben, fragen Sie Ihren Log Analytics-Arbeitsbereich ab. Es kann bis zu 20 Minuten dauern, bis Protokolle in Ihrem Arbeitsbereich angezeigt werden.

Für CEF-Protokolle:

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceProduct == "MOCK"

Für Cisco ASA-Protokolle:

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceVendor == "Cisco"
| where DeviceProduct == "ASA"

Zusätzliche Problembehandlung

Wenn an Port 514 kein Datenverkehr angezeigt wird oder Ihre Testnachrichten nicht erfasst werden, finden Sie weitere Informationen unter Problembehandlung für Syslog und CEF über AMA-Connectors für Microsoft Sentinel.

Verwandte Inhalte

• Syslog und Common Event Format (CEF) über AMA-Connectors für Microsoft Sentinel
• Datensammlungsregeln in Azure Monitor
• CEF über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung
• Syslog über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für die Microsoft Sentinel Datenerfassung
• Problembehandlung bei Syslog und CEF über AMA-Connectors für Microsoft Sentinel