Collecter des données dans des formats de journaux personnalisés vers Microsoft Sentinel avec l’agent Log Analytics

  • Article

De nombreuses applications consignent des données dans des fichiers texte au lieu des services de journalisation standard comme le Journal des événements Windows ou Syslog. Vous pouvez utiliser l’agent Log Analytics pour collecter des données dans des fichiers texte de formats non standard à partir d’ordinateurs Windows et Linux. Une fois la collecte terminée, vous pouvez analyser les données dans des champs individuels au sein de vos requêtes ou extraire les données lors de la collecte vers des champs individuels.

Cet article explique comment connecter vos sources de données à Microsoft Sentinel à l’aide de formats de journaux personnalisés. Pour plus d’informations sur les connecteurs de données pris en charge qui utilisent cette méthode, consultez Informations de référence sur les connecteurs de données.

Important

L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.

Apprenez-en davantage sur les journaux personnalisés dans la documentation d’Azure Monitor.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Installer l’agent Log Analytics

Installez l’agent Log Analytics sur la machine Linux ou Windows qui générera les journaux.

Certains fournisseurs recommandent d’installer l’agent Log Analytics sur un serveur de journaux distinct plutôt que directement sur l’appareil. Consultez la section de votre produit dans la page des informations de référence sur les connecteurs de données ou dans la documentation de votre produit.

Sélectionnez l’onglet approprié ci-dessous, selon que votre connecteur fait partie de la solution répertoriée dans le hub de contenu de Microsoft Sentinel ou non.

Avant de commencer, installez la solution pour le produit à partir du Hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi. Une fois le connecteur de données du produit disponible, procédez comme suit.

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.

  2. Recherchez et sélectionnez le connecteur de données du produit approprié.

  3. Sélectionnez Ouvrir la page du connecteur.

  4. Installez et intégrez l’agent sur l’appareil qui génère les journaux. Choisissez Linux ou Windows, selon le cas.

    Type de machine Instructions
    Pour une machine virtuelle Linux Azure
    1. Sous Choisissez l’emplacement d’installation de l’agent Linux, développez Installer l’agent sur une machine virtuelle Linux Azure.

    2. Sélectionnez le lien Télécharger et installer l’agent pour les machines virtuelles > Linux Azure.

    3. Dans le panneau Machines virtuelles, sélectionnez une machine virtuelle sur laquelle installer l’agent, puis choisissez Connecter. Répétez cette étape pour chaque machine virtuelle à laquelle vous souhaitez vous connecter.
    Pour toute autre machine Linux
    1. Sous Choisissez l’emplacement d’installation de l’agent Linux, développez Installer l’agent sur une machine Linux non Azure.

    2. Sélectionnez l’agent De téléchargement et d’installation pour les machines > Linux non-Azure.

    3. Dans le panneau Gestion des agents, sélectionnez l’onglet Serveurs Linux, puis copiez la commande pour Télécharger et intégrer l’agent pour Linux et exécutez-la sur votre machine Linux.

      Si vous souhaitez conserver une copie locale du fichier d’installation de l’agent Linux, sélectionnez le lien Télécharger l’agent Linux au-dessus de la commande « Télécharger et intégrer l’agent ».
    Pour une machine virtuelle Windows Azure
    1. Sous Choisissez l’emplacement d’installation de l’agent Windows, développez Installer l’agent sur une machine virtuelle Windows Azure.

    2. Sélectionnez le lien Télécharger et installer l’agent pour les machines virtuelles > Windows Azure.

    3. Dans le panneau Machines virtuelles, sélectionnez une machine virtuelle sur laquelle installer l’agent, puis choisissez Connecter. Répétez cette étape pour chaque machine virtuelle à laquelle vous souhaitez vous connecter.
    Pour toute autre machine Windows
    1. Sous Choisissez l’emplacement d’installation de l’agent Windows, développez Installer l’agent sur une machine virtuelle Windows non Azure.

    2. Sélectionnez l’agent de téléchargement et d’installation pour les machines > Windows autres qu’Azure.

    3. Dans le panneau Gestion des agents, sous l’onglet Serveurs Windows, sélectionnez le lien Télécharger l’agent Windows pour les systèmes 32 bits ou 64 bits, selon le cas.

Configurer les journaux à collecter

De nombreux types d’appareils ont des connecteurs de données propres qui s’affichent dans la page Connecteurs de données de Microsoft Sentinel. Certains de ces connecteurs impliquent des instructions supplémentaires spéciales pour configurer correctement la collecte des journaux dans Microsoft Sentinel. Ces instructions peuvent inclure l’implémentation d’un analyseur basé sur une fonction Kusto.

Tous les connecteurs répertoriés dans Microsoft Sentinel affichent des instructions spécifiques sur leurs pages de connecteur respectives dans le portail, ainsi que dans leurs sections de la page Informations de référence sur les connecteurs de données Microsoft Sentinel.

Si votre produit n’a pas de solution avec un connecteur de données répertorié dans le Hub de contenu, consultez la documentation de votre fournisseur pour obtenir des instructions sur la configuration de la journalisation pour votre appareil.

Configurer l’agent Log Analytics

  1. Dans la page du connecteur, sélectionnez le lien Ouvrir la configuration des journaux personnalisés de votre espace de travail.

    Ou bien, dans le menu de navigation de l’espace de travail Log Analytics, sélectionnez Journaux personnalisés.

  2. Dans l’onglet Tables personnalisées, sélectionnez Ajouter un journal personnalisé.

  3. Dans l’onglet Exemple, téléchargez un exemple de fichier journal à partir de votre appareil (par exemple, access.log ou error.log). Ensuite, sélectionnez Suivant.

  4. Dans l’onglet Délimiteur d’enregistrement, sélectionnez un délimiteur d’enregistrement, Nouvelle ligne ou Timestamp (consultez les instructions de cet onglet), puis sélectionnez Suivant.

  5. Dans l’onglet Chemins d’accès à la collection, sélectionnez un type de chemin d’accès de Windows ou Linux, puis entrez le chemin d’accès aux journaux de votre appareil en fonction de votre configuration. Ensuite, sélectionnez Suivant.

  6. Donnez un nom à votre journal personnalisé et éventuellement une description, puis sélectionnez Suivant.
    Ne terminez pas votre nom par « _CL », car il sera ajouté automatiquement.

Recherche de données

Pour interroger les données de journaux personnalisés dans Journaux, tapez le nom que vous avez donné à votre journal personnalisé (se terminant par « _CL ») dans la fenêtre de la requête.

Étapes suivantes

Dans ce document, vous avez appris comment collecter des données à partir de types de journaux personnalisés pour les ingérer dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :