Creación de una regla de recopilación de datos (DCR)
Para empezar, abra el Syslog a través de AMA o Common Event Format (CEF) a través del conector de datos AMA en Microsoft Sentinel y cree una regla de recopilación de datos (DCR).
En Microsoft Sentinel, en Azure Portal en Configuración, seleccione Conectores de datos.
Para Microsoft Sentinel en el Portal Defender, seleccione Microsoft Sentinel>Configuración>Conectores de datos.
En el caso de Syslog. escriba Syslog en el cuadro Buscar. En los resultados, seleccione el conectorSyslog a través de AMA.
En el caso de CEF, escriba CEF en el cuadro Buscar. En los resultados, seleccione el conector formato de evento común (CEF) a través de AMA.
Seleccione Abrir página del conector en el panel de detalles.
En el área Configuración, seleccione +Crear regla de recopilación de datos.
En la pestaña Básico:
- Escriba un nombre de DCR.
- Seleccione su suscripción.
- Seleccione el grupo de recursos en el que se encuentra su DCR.
Seleccione Siguiente: Recursos>.
Definición de recursos de la máquina virtual
En la pestaña Recursos, seleccione las máquinas en las que desea instalar el AMA, en este caso, la máquina del reenviador de registro. Si el reenviador de registros no aparece en la lista, es posible que no tenga instalado el agente de Azure Connected Machine.
Use los filtros disponibles o el cuadro de búsqueda para buscar la máquina virtual del reenviador de registro. Expanda cualquiera de las suscripciones de la lista para ver sus grupos de recursos y cualquiera de estos para ver sus máquinas virtuales.
Seleccione la máquina virtual del reenviador de registros en la que desea instalar el AMA. La casilla aparece junto al nombre de la máquina virtual al mantener el puntero sobre ella.
Revise los cambios y seleccione Siguiente: Recopilar >.
Selección de instalaciones y niveles de gravedad
Tenga en cuenta que el uso de la misma instalación para los mensajes de Syslog y CEF puede provocar la duplicación de la ingesta de datos. Para más información, consulte Prevención de duplicación en la ingesta de datos.
En la pestaña Recopilar, seleccione el nivel de registro mínimo para cada instalación. Al seleccionar un nivel de registro, Microsoft Sentinel recopila registros para el nivel seleccionado y otros niveles con una gravedad mayor. Por ejemplo, si selecciona LOG_ERR, Microsoft Sentinel recopila registros para los niveles LOG_ERR, LOG_CRIT, LOG_ALERT, y LOG_EMERG.
Revise las selecciones y seleccione Siguiente: Revisar y crear.
Revisión y creación de la regla
Después de completar todas las pestañas, examine lo que ha escrito y cree la regla de recopilación de datos.
En la pestaña Revisar y crear, seleccione Crear.
El conector instalará el agente de Azure Monitor en las máquinas que seleccionó al crear la regla.
Compruebe las notificaciones en Azure Portal o en el portal de Microsoft Defender para ver cuándo se crea la regla y se instala el agente.
Seleccione Actualizar en la página del conector para ver la DCR que se muestra en la lista.
Instalación del agente de Azure Monitor
Siga las instrucciones pertinentes, que encontrará en la documentación de Azure Monitor, para instalar el agente de Azure Monitor en el reenviador de registros. No olvide usar las instrucciones para Linux, no para Windows.
Puede crear reglas de recopilación de datos (DCR) mediante la API de ingesta de registros de Azure Monitor. Para más información, consulte Reglas de recopilación de datos en Azure Monitor.
Creación de la regla de recopilación de datos
Cree un archivo JSON para la regla de recopilación de datos, cree una solicitud de API y envíe la solicitud.
Prepare un archivo DCR en formato JSON. El contenido de este archivo es el cuerpo de la solicitud de API.
Para obtener un ejemplo, consulte cuerpo de solicitud de creación de DCR Syslog/CEF. Para recopilar mensajes de Syslog y CEF en la misma regla de recopilación de datos, consulte el ejemplo de Flujos de Syslog y CEF en el mismo DCR.
- Compruebe que el campo
streams
esté establecido en Microsoft-Syslog
para los mensajes de Syslog o en Microsoft-CommonSecurityLog
para los mensajes CEF.
- Agregue los niveles de registro de filtro y de instalación en los parámetros
facilityNames
y logLevels
. Consulte los ejemplos de secciones de instalaciones y niveles de registro.
Cree una solicitud de API en el cliente de API de REST que elija.
En el caso del encabezado y la dirección URL de la solicitud, copie el siguiente encabezado y la siguiente dirección URL de solicitud.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
- Sustituya los valores adecuados para los marcadores de posición
{subscriptionId}
y {resourceGroupName}
.
- Escriba un nombre de su elección para la DCR en lugar del marcador de posición
{dataCollectionRuleName}
.
Para el cuerpo de la solicitud, copie y pegue el contenido del archivo JSON de DCR que creó (en el paso 1 anterior) en el cuerpo de la solicitud.
Envíe la solicitud.
Para ver un ejemplo de la respuesta que debe recibir, consulte Respuesta de creación de DCR de Syslog/CEF.
Asociación de la DCR de dominio al reenviador de registros
Ahora debe crear una asociación de la DCR (DCRA) que vincule la DCR al recurso de máquina virtual que hospeda el reenviador de registros.
Cree una solicitud de API en el cliente de API de REST que elija.
En cuanto al encabezado y la dirección URL de la solicitud, copie el siguiente encabezado y la siguiente dirección URL de solicitud.
PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
- Sustituya los valores adecuados para los marcadores de posición
{subscriptionId}
, {resourceGroupName}
y {virtualMachineName}
.
- Escriba un nombre de su elección para la DCR en lugar del marcador de posición
{dataCollectionRuleAssociationName}
.
En cuanto al cuerpo de la solicitud, copie el siguiente cuerpo de la solicitud.
{
"properties": {
"dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
}
}
- Sustituya los valores adecuados para los marcadores de posición
{subscriptionId}
y {resourceGroupName}
.
- Escriba un nombre de su elección para la DCR en lugar del marcador de posición
{dataCollectionRuleName}
.
Envíe la solicitud.
Ejemplos de secciones de instalaciones y niveles de registro
Revise estos ejemplos de la configuración de las instalaciones y los niveles de registro. El campo name
incluye el nombre del filtro.
Para la ingesta de mensajes CEF, el valor de "streams"
debe ser "Microsoft-CommonSecurityLog"
en lugar de "Microsoft-Syslog"
.
En este ejemplo se recopilan eventos de las instalaciones cron
, daemon
, local0
, local3
y uucp
, con los niveles de registro Warning
, Error
, Critical
, Alert
y Emergency
:
"dataSources": {
"syslog": [
{
"name": "SyslogStream0",
"streams": [
"Microsoft-Syslog"
],
"facilityNames": [
"cron",
"daemon",
"local0",
"local3",
"uucp"
],
"logLevels": [
"Warning",
"Error",
"Critical",
"Alert",
"Emergency"
]
}
]
}
Flujos de Syslog y CEF en el mismo DCR
En este ejemplo se muestra cómo se pueden recopilar mensajes de Syslog y CEF en el mismo DCR.
El DCR recopila mensajes de eventos CEF para:
- Las instalaciones
authpriv
y mark
con los niveles de registro Info
, Notice
, Warning
, Error
, Critical
, Alert
, y Emergency
- La instalación
daemon
con los niveles de registro Warning
, Error
, Critical
, Alert
y Emergency
Recopila mensajes de eventos de Syslog para:
- Los niveles de registro
kern
, local0
, local5
y news
con los niveles de registro Critical
, Alert
y Emergency
- Las instalaciones
mail
y uucp
con el nivel de registro Emergency
"dataSources": {
"syslog": [
{
"name": "CEFStream1",
"streams": [
"Microsoft-CommonSecurityLog"
],
"facilityNames": [
"authpriv",
"mark"
],
"logLevels": [
"Info",
"Notice",
"Warning",
"Error",
"Critical",
"Alert",
"Emergency"
]
},
{
"name": "CEFStream2",
"streams": [
"Microsoft-CommonSecurityLog"
],
"facilityNames": [
"daemon"
],
"logLevels": [
"Warning",
"Error",
"Critical",
"Alert",
"Emergency"
]
},
{
"name": "SyslogStream3",
"streams": [
"Microsoft-Syslog"
],
"facilityNames": [
"kern",
"local0",
"local5",
"news"
],
"logLevels": [
"Critical",
"Alert",
"Emergency"
]
},
{
"name": "SyslogStream4",
"streams": [
"Microsoft-Syslog"
],
"facilityNames": [
"mail",
"uucp"
],
"logLevels": [
"Emergency"
]
}
]
}