Condividi tramite

[Deprecato] Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Questo articolo descrive come raccogliere dati dai dispositivi che usano formati di log personalizzati per Microsoft Sentinel usando l'agente Log Analytics. Per informazioni su come inserire log personalizzati usando l'agente di Monitoraggio di Azure (AMA), vedere Raccogliere log da file di testo con l'agente di Monitoraggio di Azure e inserirli in Microsoft Sentinel.

Molte applicazioni registrano i dati nei file di testo invece di usare servizi di registrazione standard come il registro eventi di Windows o Syslog. È possibile usare l'agente Log Analytics per raccogliere dati in file di testo di formati non standard da computer Windows e Linux. Al termine della raccolta, è possibile analizzare i dati nei singoli campi nelle query o estrarli durante la raccolta in singoli campi.

Per altre informazioni sui connettori dati supportati che raccolgono formati di log personalizzati, vedere Informazioni di riferimento sui connettori dati.

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile completare la migrazione ad Agente di Monitoraggio di Azure (AMA). Per altre informazioni, vedere Migrazione AMA per Microsoft Sentinel.

Informazioni sui log personalizzati nella documentazione di Monitoraggio di Azure.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Installare l'agente di Log Analytics

Installare l'agente Log Analytics nel computer Linux o Windows che genererà i log.

Alcuni fornitori consigliano di installare l'agente Log Analytics in un server di log separato anziché direttamente nel dispositivo. Consultare la sezione del prodotto nella pagina di riferimento Connettori dati o nella documentazione del prodotto.

Selezionare la scheda appropriata di seguito, a seconda che il connettore faccia parte della soluzione elencata nell'hub del contenuto di Microsoft Sentinel o meno.

Prima di iniziare, installare la soluzione per il prodotto dall'Hub contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel. Dopo aver reso disponibile il connettore dati per il prodotto, continuare con la procedura seguente.

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

  2. Cercare e selezionare il connettore dati del prodotto appropriato.

  3. Selezionare Apri la pagina del connettore.

  4. Installare ed eseguire l'onboarding dell'agente sul dispositivo che genera i log. Scegliere Linux o Windows in base alle esigenze.

    Tipo di computer Istruzioni
    Per una macchina virtuale Linux di Azure
    1. In Seleziona dove installare l'agente Linux, espandere Installa agente nella macchina virtuale Linux di Azure.

    2. Selezionare il collegamento Scaricare e installare l'agente per le macchine virtuali Linux di Azure>.

    3. Nel pannello Macchine virtuali, selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connetti. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
    Per qualsiasi altro computer Linux
    1. In Scegliere dove installare l'agente Linux, espandere Installa agente in un computer Linux non Azure.

    2. Selezionare il collegamento Scaricare e installare l'agente per computer Linux non Azure >.

    3. Nel pannello Gestione agenti selezionare la scheda server Linux, quindi copiare il comando per Scarica ed esegui l'onboarding dell'agente per Linux ed eseguirlo nel computer Linux.

      Se si vuole mantenere una copia locale del file di installazione dell'agente Linux, selezionare il collegamento Scaricare agente Linux sul comando "Scarica ed esegui l'onboarding dell'agente".
    Per una macchina virtuale Windows di Azure
    1. In Seleziona dove installare l'agente Windows, espandere Installa agente nella macchina virtuale Windows di Azure.

    2. Selezionare il collegamento Scarica e installa l'agente per le macchine virtuali Windows di Azure>.

    3. Nel pannello Macchine virtuali, selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connetti. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
    Per qualsiasi altro computer Windows
    1. In Seleziona dove installare l'agente Windows, espandere Installa agente nella macchina Windows non di Azure

    2. Selezionare il collegamento Scarica e installa l'agente per computer Windows non di Azure>.

    3. Nel pannello Gestione degli agenti, nella scheda Server Windows, selezionare il collegamento Scarica agente Windows per sistemi a 32 bit o a 64 bit, in base alle esigenze.

Configurare i log da raccogliere

Molti tipi di dispositivo hanno connettori dati personalizzati visualizzati nella pagina Connettori dati in Microsoft Sentinel. Alcuni di questi connettori richiedono istruzioni aggiuntive speciali per configurare correttamente la raccolta dei log in Microsoft Sentinel. Queste istruzioni possono includere l'implementazione di un parser basato su una funzione Kusto.

Tutti i connettori elencati in Microsoft Sentinel visualizzeranno istruzioni specifiche nelle rispettive pagine del connettore nel portale, nonché nelle relative sezioni della pagina di riferimento dei connettori dati di Microsoft Sentinel.

Se il prodotto non ha una soluzione con un connettore dati elencato nell'hub contenuto, consultare la documentazione del fornitore per istruzioni sulla configurazione della registrazione per il dispositivo.

Configurare l'agente di Log Analytics

  1. Nella pagina del connettore selezionare il collegamento Apri configurazione log personalizzati dell'area di lavoro.

    In alternativa, dal menu di spostamento area di lavoro Log Analytics selezionare Log personalizzati.

  2. Nella scheda Tabelle personalizzate, selezionare Aggiungi log personalizzato.

  3. Nella scheda Esempio, caricare un esempio di file di log dal dispositivo, ad esempio access.log o error.log. Quindi seleziona Avanti.

  4. Nella scheda Delimitatore record selezionare un delimitatore di record, nuova riga o timestamp (vedere le istruzioni in tale scheda) e selezionare Avanti.

  5. Nella scheda Percorsi di raccolta, selezionare un tipo di percorso di Windows o Linux e immettere il percorso dei log del dispositivo in base alla configurazione. Quindi seleziona Avanti.

  6. Assegnare un nome al log personalizzato e facoltativamente una descrizione e selezionare Avanti.
    Non terminare il nome con "_CL", perché verrà aggiunto automaticamente.

Trovare i dati

Per eseguire una query sui dati di log personalizzati in Log, digitare il nome assegnato al log personalizzato (che termina con "_CL") nella finestra di query.

Passaggi successivi

Questo documento descrive come raccogliere dati dai tipi di log personalizzati da inserire in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: