Sammeln von Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent

  • Artikel

Viele Anwendungen protokollieren Daten nicht in standardmäßigen Protokollierungsdiensten wie Windows-Ereignisprotokoll oder Syslog, sondern in Textdateien. Sie können den Log Analytics-Agent verwenden, um Daten in Textdateien mit nicht standardmäßigen Formaten von Windows- und Linux-Computern zu sammeln. Die erfassten Daten können entweder in Ihren Abfragen zu einzelnen Feldern aufgeschlüsselt oder während der Erfassung in einzelne Felder extrahiert werden.

Dieser Artikel beschreibt, wie Sie Ihre Datenquellen mit Microsoft Sentinel verbinden können, indem Sie benutzerdefinierte Protokollformate verwenden. Weitere Informationen zu unterstützten Datenconnectors für diese Methode finden Sie in der Referenz zu Datenconnectors.

Wichtig

Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen. Weitere Informationen finden Sie unter AMA-Migration für Microsoft Sentinel.

Informationen zu benutzerdefinierten Protokollen finden Sie in der Azure Monitor-Dokumentation.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Installieren des Log Analytics-Agents

Installieren Sie den Log Analytics-Agent auf dem Linux- oder Windows Computer, der die Protokolle generiert.

Einige Anbieter empfehlen, den Log Analytics-Agent auf einem separaten Protokollserver, statt direkt auf dem Gerät zu installieren. Lesen Sie den Abschnitt Ihres Produkts auf der Referenzseite für Datenconnectors oder die eigene Dokumentation Ihres Produkts.

Wählen Sie unten die entsprechende Registerkarte aus, je nachdem, ob Ihr Connector Teil der im Content Hub von Microsoft Sentinel aufgeführten Lösung ist oder nicht.

Bevor Sie beginnen, installieren Sie die Lösung für das Produkt aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte. Sobald der Datenconnector für das Produkt verfügbar ist, fahren Sie mit den folgenden Schritten fort.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.

  2. Suchen Sie nach dem entsprechenden Produktdatenconnector, und wählen Sie sie aus.

  3. Wählen Sie Connectorseite öffnen aus.

  4. Installieren und registrieren Sie den Agent auf dem Gerät, das die Protokolle generiert. Wählen Sie je nach Bedarf Linux oder Windows aus.

    Computertyp Anweisungen
    Für eine Azure-Linux-VM
    1. Erweitern Sie unter Wählen Sie aus, wo der Linux-Agent installiert werden soll die Option Agent auf virtuellem Linux-Computer in Azure installieren.

    2. Wählen Sie den Link "Herunterladen und Installieren" für virtuelle Azure Linux-Computer > aus.

    3. Wählen Sie auf dem Blatt Virtuelle Computer eine VM aus, auf der der Agent installiert werden soll, und wählen Sie dann Verbinden aus. Wiederholen Sie diesen Schritt für jeden virtuellen Computer, den Sie verbinden möchten.
    Für jeden weiteren Linux-Computer
    1. Erweitern Sie unter Wählen Sie aus, wo der Linux-Agent installiert werden soll die Option Agent auf virtuellem Linux-Computer (kein Azure) installieren.

    2. Wählen Sie den Download- und Installations-Agent für Nicht-Azure Linux-Computerverknüpfung > aus.

    3. Klicken Sie auf dem Blatt Agent-Verwaltung auf die Registerkarte Linux-Server, kopieren Sie dann den Befehl für Agent für Linux herunterladen und Onboarding durchführen, und führen Sie ihn auf Ihrem Linux-Computer aus.

      Wenn Sie eine lokale Kopie der Linux-Agent-Installationsdatei beibehalten möchten, klicken Sie auf den Link Linux-Agent herunterladen über dem Befehl „Agent herunterladen und integrieren“ aus.
    Für einen virtuellen Windows-Computer in Azure
    1. Erweitern Sie unter Wählen Sie aus, wo der Windows-Agent installiert werden soll die Option Agent auf virtuellem Windows-Computer in Azure installieren.

    2. Wählen Sie den Link "Download & Install Agent" für virtuelle Azure Windows-Computer > aus.

    3. Wählen Sie auf dem Blatt Virtuelle Computer eine VM aus, auf der der Agent installiert werden soll, und wählen Sie dann Verbinden aus. Wiederholen Sie diesen Schritt für jeden virtuellen Computer, den Sie verbinden möchten.
    Für alle anderen Windows-Computer
    1. Erweitern Sie unter Wählen Sie aus, wo der Windows-Agent installiert werden soll die Option Agent auf Windows-Computer (kein Azure) installieren.

    2. Wählen Sie den Download- und Installations-Agent für Den Link "Windows-Computer > ohne Azure" aus.

    3. Wählen Sie auf dem Blatt Agent-Verwaltung auf der Registerkarte Windows-Server je nach Eignung den Link Windows-Agent herunterladen für 32-Bit- oder 64-Bit-Systeme aus.

Konfigurieren der zu erfassenden Protokolle

Viele Gerätetypen haben ihre eigenen Datenkonnektoren, die auf der Seite Datenkonnektoren in Microsoft Sentinel erscheinen. Einige dieser Konnektoren erfordern spezielle zusätzliche Anweisungen, um die Protokollsammlung in Microsoft Sentinel ordnungsgemäß einzurichten. Diese Anweisungen können die Implementierung eines Parsers basierend auf einer Kusto-Funktion beinhalten.

Alle in Microsoft Sentinel aufgeführten Konnektoren zeigen auf ihren jeweiligen Konnektorenseiten im Portal sowie in ihren Abschnitten auf der Seite Microsoft Sentinel-Datenkonnektoren-Referenz spezifische Anweisungen an.

Wenn Ihr Produkt keine Lösung mit einem Datenconnector enthält, der im Content Hub aufgeführt ist, lesen Sie die Dokumentation Ihres Anbieters, um Anweisungen zum Konfigurieren der Protokollierung für Ihr Gerät zu erhalten.

Konfigurieren des Log Analytics-Agent

  1. Wählen Sie auf der Connectorseite den Link Öffnen der Konfiguration der erweiterten Einstellungen Ihres Arbeitsbereichs aus.

    Oder wählen Sie im Navigationsmenü des Log Analytics-Arbeitsbereichs die Option Benutzerdefinierte Protokolle aus.

  2. Wählen Sie auf der Seite Benutzerdefinierte Tabellen die Option Benutzerdefiniertes Protokoll hinzufügen aus.

  3. Laden Sie auf der Registerkarte Beispiel ein Beispiel einer Protokolldatei von Ihrem Gerät hoch (z. B. access.log oder error.log). Klicken Sie anschließend auf Weiter.

  4. Wählen Sie in der Registerkarte Datensatztrennzeichen ein Datensatztrennzeichen aus – entweder Neue Zeile oder Zeitstempel (siehe Anleitung in dieser Registerkarte), und wählen Sie Weiter aus.

  5. Wählen Sie auf der Registerkarte Sammlungspfade den Pfadtyp Windows oder Linux aus, und geben Sie den Pfad zu den Protokollen Ihres Geräts basierend auf Ihrer Konfiguration ein. Klicken Sie anschließend auf Weiter.

  6. Geben Sie Ihrem benutzerdefinierten Protokoll einen Namen und optional eine Beschreibung, und wählen Sie Weiter aus.
    Beenden Sie Ihren Namen nicht mit „_CL“, da diese Kennung automatisch angefügt wird.

Suchen von Daten

Geben Sie im Abfragefenster den Namen ein, den Sie Ihrem benutzerdefinierten Protokoll gegeben haben (der auf „_CL“ endet), um die benutzerdefinierten Protokolldaten in Protokolle abzufragen.

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie Daten aus benutzerdefinierten Protokolltypen sammeln, um sie in Microsoft Sentinel zu importieren. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: