Mengumpulkan data dalam format log kustom ke Microsoft Azure Sentinel dengan agen Analitik Log

  • Artikel

Banyak aplikasi mencatat data ke file teks alih-alih layanan pencatatan standar seperti log Windows Event atau Syslog. Anda dapat menggunakan agen Analitik Log untuk mengumpulkan data dalam file teks dengan format yang tidak standar dari komputer Windows dan Linux. Setelah dikumpulkan, Anda dapat mengurai data ke dalam bidang individual dalam kueri Anda atau mengekstrak data selama pengumpulan ke bidang individual.

Artikel ini menjelaskan cara menghubungkan sumber data Anda ke Microsoft Azure Sentinel menggunakan format log kustom. Untuk informasi selengkapnya tentang konektor data yang didukung untuk menggunakan metode ini, lihat Referensi konektor data.

Penting

Agen Analitik Log akan dihentikan pada 31 Agustus 2024. Jika Anda menggunakan agen Log Analytics dalam penyebaran Microsoft Sentinel, kami sarankan Anda mulai merencanakan migrasi ke AMA. Untuk informasi selengkapnya, lihat Migrasi AMA untuk Microsoft Sentinel.

Pelajari semua tentang log kustom di dokumentasi Azure Monitor.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Pasang agen Analitik Log

Pasang agen Analitik Log di mesin Linux atau Windows yang akan menghasilkan log.

Beberapa vendor menyarankan untuk menginstal agen Analitik Log di server log terpisah, bukan langsung di perangkat. Lihat bagian produk Anda di halaman Referensi konektor data atau dokumentasi produk Anda sendiri.

Pilih tab yang sesuai di bawah ini, tergantung pada apakah konektor Anda adalah bagian dari solusi yang tercantum di hub konten Microsoft Azure Sentinel atau tidak.

Sebelum memulai, instal solusi untuk produk dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel. Setelah konektor data untuk produk tersedia, lanjutkan dengan langkah-langkah berikut.

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

  2. Cari dan pilih konektor data produk yang sesuai.

  3. Pilih Buka laman konektor.

  4. Pasang dan onboard agen pada perangkat yang menghasilkan log. Pilih Linux atau Windows yang sesuai.

    Jenis komputer Petunjuk
    Untuk mesin virtual Azure Linux
    1. Di bawah Pilih tempat menginstal agen Linux, perluas Pemasangan agen di mesin virtual Azure Linux.

    2. Pilih tautan Unduh & instal agen untuk Komputer virtual > Azure Linux.

    3. Di bilah Mesin virtual, pilih mesin virtual untuk menginstal agen, lalu pilih Sambungkan. Ulangi langkah ini untuk setiap VM yang ingin dihubungkan.
    Untuk mesin Linux lainnya
    1. Di bawah Pilih tempat menginstal agen Linux, perluas Instal agen di Mesin Linux non-Azure.

    2. Pilih tautan Unduh &instal agen untuk komputer > Linux non-Azure.

    3. Di bilah Manajemen agen, pilih tab Server Linux, lalu salin perintah untuk Unduh dan onboard agen untuk Linux dan menjalankan di mesin Linux Anda.

      Jika Anda ingin menyimpan salinan lokal dari file instalasi agen Linux, pilih tautan Unduh Agen Linux di atas perintah "Unduh dan onboard agen".
    Untuk mesin virtual Azure Windows
    1. Di bawah Pilih tempat menginstal agen Windows, luaskan Pasang agen di mesin virtual Azure Windows.

    2. Pilih tautan Unduh & instal agen untuk Komputer virtual > Azure Windows.

    3. Di bilah Mesin virtual, pilih mesin virtual untuk menginstal agen, lalu pilih Sambungkan. Ulangi langkah ini untuk setiap VM yang ingin dihubungkan.
    Untuk mesin Windows lainnya
    1. Di bawah Pilih tempat menginstal agen Windows, perluas Pasang agen di Mesin Windows non-Azure

    2. Pilih tautan Unduh & instal agen untuk komputer > Windows non-Azure.

    3. Di bilah Manajemen Agen, pada tab server Windows, pilih tautan Unduh Agen Windows untuk sistem 32-bit atau 64-bit yang sesuai.

Konfigurasikan log yang akan dikumpulkan

Banyak jenis perangkat yang memiliki konektor datanya sendiri yang muncul di halaman Konektor data di Microsoft Azure Sentinel. Beberapa konektor ini memerlukan instruksi tambahan khusus untuk menyiapkan kumpulan log dengan benar di Microsoft Azure Sentinel. Instruksi ini dapat mencakup implementasi parser berdasarkan fungsi Kusto.

Semua konektor yang terdaftar di Microsoft Azure Sentinel akan menampilkan instruksi spesifik di halaman konektornya masing-masing di portal, serta di bagian halaman Referensi konektor data Microsoft Azure Sentinel.

Jika produk Anda tidak memiliki solusi dengan konektor data yang tercantum di Hub Konten, lihat dokumentasi vendor Anda untuk mendapatkan petunjuk tentang mengonfigurasi pengelogan untuk perangkat Anda.

Mengonfigurasikan agen Analitik Log

  1. Dari halaman konektor, pilih tautan Buka konfigurasi log kustom ruang kerja Anda.

    Atau, dari menu navigasi ruang kerja Analitik Log, pilih Log kustom.

  2. Pada tab Tabel kustom, pilih Tambahkan log kustom.

  3. Pada tab Sampel, unggah sampel file log dari perangkat Anda (mis. access.log atau error.log). Kemudian, pilih Berikutnya.

  4. Pada tab Pemisah rekaman, pilih pemisah rekaman, entah Baris baru atau Tanda waktu (lihat petunjuk pada tab itu), lalu pilih Berikutnya.

  5. Di tab Jalur kumpulan, pilih jenis jalur Windows atau Linux dan masukkan jalur ke log perangkat Anda berdasarkan konfigurasi Anda. Kemudian, pilih Berikutnya.

  6. Berikan nama log kustom Anda dan deskripsi opsional dan pilih Berikutnya.
    Jangan mengakhiri nama Anda dengan "_CL" karena akan ditambahkan secara otomatis.

Menemukan data Anda

Untuk menanyakan data log khusus di Logs, ketik nama yang Anda berikan pada log khusus Anda (berakhiran "_CL") di jendela kueri.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara mengumpulkan data dari jenis log kustom untuk diserap ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: