Recopilación de datos en formatos de registro personalizados para Microsoft Sentinel con el agente de Log Analytics

  • Artículo

Muchas aplicaciones registran datos en archivos de texto, en lugar de los servicios de registro estándar, como el registro de eventos de Windows o Syslog. Puede usar el agente de Log Analytics para recopilar datos en archivos de texto de formatos no estándar de equipos Windows y Linux. Una vez recopilados, puede analizar los datos en campos individuales en las consultas o extraerlos durante la recopilación de campos individuales.

En este artículo se describe cómo conectar los orígenes de datos a Microsoft Sentinel mediante formatos de registro personalizados. Para obtener más información sobre los conectores de datos compatibles que usan este método, consulte Referencia de conectores de datos.

Importante

El agente de Log Analytics se retirará el 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, le recomendamos que empiece a planear la migración al AMA. Para más información, vea Migración de AMA para Microsoft Sentinel.

Obtenga información sobre los registros personalizados en la documentación de Azure Monitor.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Instalación del agente de Log Analytics

Instale el agente de Log Analytics en la máquina Linux o Windows que generará los registros.

Algunos proveedores recomiendan instalar el agente de Log Analytics en un servidor de registro independiente en lugar de hacerlo directamente en el dispositivo. Consulte la sección del producto en la página Referencia de conectores de datos o la documentación del producto.

Seleccione la pestaña adecuada a continuación, en función de si su conector forma parte o no de una solución incluida en el concentrador de contenido de Microsoft Sentinel.

Antes de comenzar, instale la solución para el producto desde Centro de contenido en Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel. Una vez que el conector de datos para el producto esté disponible, continúe con los siguientes pasos.

  1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.

  2. Busque y seleccione el conector de datos de producto adecuado.

  3. Seleccione Open connector page (Abrir página del conector).

  4. Instale e incorpore el agente en el dispositivo que genera los registros. Elija Linux o Windows según corresponda.

    Tipo de máquina Instrucciones
    Para una VM Linux de Azure
    1. En Elegir dónde instalar el agente de Linux, expanda Instalación del agente en una máquina virtual Linux de Azure.

    2. Seleccione el vínculo Descargar e instalar agente para máquinas virtuales > Linux de Azure.

    3. En la hoja Máquinas virtuales, seleccione una máquina virtual en la que quiera instalar el agente y, después, seleccione Conectar. Repita este paso para cada VM que quiera conectar.
    Para cualquier otra máquina Linux
    1. En Elegir dónde instalar el agente Linux, expanda Instalación del agente en una máquina Linux que no sea de Azure.

    2. Seleccione el vínculo Descargar e instalar agente para máquinas > Linux que no son de Azure.

    3. En la hoja Administración de agentes, seleccione la pestaña Servidores Linux y, a continuación, copie el comando para descargar e incorporar el agente para Linux y ejecútelo en la máquina Linux.

      Si desea mantener una copia local del archivo de instalación del agente de Linux, seleccione el vínculo Descargar agente de Linux encima del comando "Descargar e incorporar agente".
    Para una máquina virtual de Azure Windows
    1. En Elegir dónde instalar el agente de Windows, expanda Instalación del agente en una máquina virtual Windows de Azure.

    2. Seleccione el vínculo Descargar e instalar agente para máquinas virtuales Windows de > Azure.

    3. En la hoja Máquinas virtuales, seleccione una máquina virtual en la que quiera instalar el agente y, después, seleccione Conectar. Repita este paso para cada VM que quiera conectar.
    Para cualquier otra máquina Windows
    1. En Elegir dónde instalar el agente de Windows, expanda Instalación del agente en una máquina Windows que no sea de Azure.

    2. Seleccione el vínculo Descargar e instalar agente para máquinas > Windows que no son de Azure.

    3. En la hoja Administración de agentes, en la pestaña Servidores Windows, seleccione el vínculo Descargar el agente de Windows para sistemas de 32 o 64 bits, según corresponda.

Configure los registros que se van a recopilar.

Muchos tipos de dispositivo tienen sus propios conectores de datos que aparecen en la página Conectores de datos de Microsoft Sentinel. Algunos de estos conectores requieren instrucciones adicionales especiales para configurar correctamente la recopilación de registros en Microsoft Sentinel. Estas instrucciones pueden incluir la implementación de un analizador basado en una función de Kusto.

Todos los conectores enumerados en la galería mostrarán instrucciones específicas en sus respectivas páginas de conector en el portal, así como en sus secciones de la página Referencia de conectores de datos de Microsoft Sentinel.

Si su producto no tiene una solución con un conector de datos que aparezca en el Centro de contenido, consulte la documentación de su proveedor para obtener instrucciones sobre cómo configurar el registro para su dispositivo.

Configuración del agente de Log Analytics

  1. En la página del conector, seleccione el vínculo Open your workspace custom logs configuration (Abrir la configuración de los registros personalizados del área de trabajo).

    O bien, en el menú de navegación del área de trabajo de Log Analytics, seleccione Registros personalizados.

  2. En la pestaña Tablas personalizadas, seleccione Agregar registro personalizado.

  3. En la pestaña Muestra, cargue una muestra de un archivo de registro desde el dispositivo (por ejemplo, access.log o error.log). Después, seleccione Siguiente.

  4. En la pestaña Delimitador de registro, seleccione un delimitador de registro, ya sea Nueva línea o Marca de tiempo (consulte las instrucciones de esa pestaña), y seleccione Siguiente.

  5. En la pestaña Rutas de acceso de la colección, seleccione un tipo de ruta de acceso de Windows o Linux, y escriba la ruta de acceso en los registros del dispositivo en función de la configuración. Después, seleccione Siguiente.

  6. Asigne un nombre a su registro personalizado y, de forma opcional, una descripción y seleccione Siguiente.
    No termine el nombre con "_CL", ya que se anexará automáticamente.

Búsqueda de sus datos

Para consultar los datos de registro personalizados en Registros, escriba el nombre que asignó al registro personalizado (que termina en "_CL") en la ventana de consulta.

Pasos siguientes

En este documento, ha aprendido a recopilar datos de tipos de registro personalizados para ingerirlos en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: