Log Analytics エージェントを使用してカスタムログ形式のデータを Microsoft Sentinel に収集する

[アーティクル]
06/09/2023

多くのアプリケーションでは、Windows イベントログや Syslog などの標準のログ記録サービスを使わずに、テキストファイルにデータが記録されています。 Log Analytics エージェントを使用すれば、Windows と Linux コンピューターの両方から、非標準形式のテキストファイル内のデータを収集できます。収集されたデータは、クエリで解析して個別のフィールドに格納するか、または収集時に個別のフィールドに抽出することができます。

この記事では、カスタムログ形式を使用してデータソースを Microsoft Sentinel に接続する方法について説明します。この方法を使用する、サポートされているデータコネクタの詳細については、データコネクタのリファレンス記事を参照してください。

重要

Log Analytics エージェントは、2024 年 8 月 31 日に廃止される予定です。 Microsoft Sentinel のデプロイで Log Analytics エージェントを使用している場合は、AMA への移行の計画を開始することをお勧めします。詳細については、「 Microsoft Sentinel の AMA 移行」を参照してください。

Azure Monitor におけるカスタムログに関するドキュメントを参照してください。

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

Log Analytics エージェントをインストールする

ログを生成する Linux または Windows マシンに Log Analytics エージェントをインストールします。

一部のベンダーでは、Log Analytics エージェントをデバイスに直接インストールするのではなく、別のログサーバーにインストールすることを推奨しています。データコネクタのリファレンスページの該当製品のセクション、または製品自体のドキュメントを参照してください。

コネクタが Microsoft Sentinel のコンテンツハブに一覧表示されているソリューションの一部であるかどうかに応じて、下の適切なタブを選択します。

特定のデータコネクタページから
その他のデータソース

開始する前に、Microsoft Sentinel の [コンテンツハブ] から製品のソリューションをインストールします。詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。製品のデータコネクタが使用可能になったら、次の手順に進みます。

Microsoft Sentinel のナビゲーションメニューから、 [データコネクタ] を選択します。
適切な製品データコネクタを検索して選択します。
[Open connector page](コネクタページを開く) を選択します。

ログを生成するデバイスにエージェントをインストールし、オンボードします。 Linux または Windows の内、該当する方を選択します。

マシンの種類	Instructions
Azure Linux VM の場合	[Choose where to install the Linux agent](Linux エージェントをインストールする場所を選択) の下で [Install agent on Azure Linux virtual machine](Azure Linux 仮想マシンにエージェントをインストールする) を展開します。 [Azure Linux 仮想マシン>のエージェントのダウンロードとインストール] リンクを選択します。 [仮想マシン] ブレードで、エージェントをインストールする仮想マシンを選択し、 [接続] を選択します。接続する各 VM に対してこの手順を繰り返します。
その他の Linux マシンの場合	[Choose where to install the Linux agent](Linux エージェントをインストールする場所を選択) の下で [Install agent on non-Azure Linux Machine](Azure 以外の Linux マシンにエージェントをインストールする) を展開します。 [Azure Linux 以外のマシン > のエージェントのダウンロードとインストール] リンクを選択します。 [エージェント管理] ブレードで、 [Linux サーバー] タブを選択し、Linux 用エージェントのダウンロードとオンボードを行うコマンドをコピーして、Linux マシンで実行します。 Linux エージェントのインストールファイルのローカルコピーを保持する場合は、"エージェントのダウンロードとオンボード" コマンドの上にある [Linux エージェントのダウンロード] リンクを選択します。
Azure Windows VM の場合	[Choose where to install the Windows agent](Windows エージェントをインストールする場所を選択) の下で [Install agent on Azure Windows virtual machine](Azure Windows 仮想マシンにエージェントをインストールする) を展開します。 [Azure Windows 仮想マシン>のエージェントのダウンロードとインストール] リンクを選択します。 [仮想マシン] ブレードで、エージェントをインストールする仮想マシンを選択し、 [接続] を選択します。接続する各 VM に対してこの手順を繰り返します。
その他の Windows マシンの場合	[Choose where to install the Windows agent](Windows エージェントをインストールする場所を選択) の下で [Install agent on non-Azure Windows Machine](Azure 以外の Windows マシンにエージェントをインストールする) を展開します。 [Azure 以外の Windows マシン > のエージェントのダウンロードとインストール] リンクを選択します。 [エージェントの管理] ブレードの [Windows サーバー] タブで、32 ビットまたは 64 ビットシステム用の内、該当する方の [Windows エージェントのダウンロード] リンクを選択します。

Microsoft Sentinel のナビゲーションメニューで [設定] を選択し、 [ワークスペースの設定] タブを選択します。

ログを生成するデバイスにエージェントをインストールし、オンボードします。 Linux または Windows の内、該当する方を選択します。

マシンの種類	Instructions
Azure VM (Windows または Linux)	Log Analytics ワークスペースのナビゲーションメニューから、 [仮想マシン] を選択します。 [仮想マシン] ブレードで、エージェントをインストールする仮想マシンを選択し、 [接続] を選択します。接続する各 VM に対してこの手順を繰り返します。
その他の Windows または Linux マシン	Log Analytics ワークスペースのナビゲーションメニューから、 [エージェント管理] を選択します。 [Windows サーバー] または [Linux サーバー] タブの内、該当する方を選択します。 Windows の場合、32 ビットまたは 64 ビットシステム用の内、該当する方の [Windows エージェントのダウンロード] リンクを選択します。 Linux の場合は、Linux 用エージェントのダウンロードとオンボードを行うコマンドをコピーしてコマンドラインから実行するか、 [Linux エージェントのダウンロード] リンクを選択してインストールファイルのローカルコピーをダウンロードします。

マシンの種類

Instructions

Azure VM (Windows または Linux)

Log Analytics ワークスペースのナビゲーションメニューから、 [仮想マシン] を選択します。
[仮想マシン] ブレードで、エージェントをインストールする仮想マシンを選択し、 [接続] を選択します。
接続する各 VM に対してこの手順を繰り返します。

その他の Windows または Linux マシン

Log Analytics ワークスペースのナビゲーションメニューから、 [エージェント管理] を選択します。
[Windows サーバー] または [Linux サーバー] タブの内、該当する方を選択します。
Windows の場合、32 ビットまたは 64 ビットシステム用の内、該当する方の [Windows エージェントのダウンロード] リンクを選択します。 Linux の場合は、Linux 用エージェントのダウンロードとオンボードを行うコマンドをコピーしてコマンドラインから実行するか、 [Linux エージェントのダウンロード] リンクを選択してインストールファイルのローカルコピーをダウンロードします。

収集するログを構成する

多くのデバイスの種類には、Microsoft Sentinel の [データコネクタ] ページに表示される独自のデータコネクタがあります。これらのコネクタの中には、Microsoft Sentinel でログ収集を適切に設定するために、特別な追加手順が必要なものがあります。これらの手順に、Kusto 関数に基づくパーサーの実装が含まれる場合があります。

ポータルにあるそれぞれのコネクタページ、および Microsoft Sentinel データコネクタのリファレンスページのセクションには、Microsoft Sentinel で一覧表示されているすべてのコネクタに関する具体的な手順が表示されています。

データコネクタを含む製品のソリューションが [コンテンツハブ] の一覧にない場合は、ベンダーのドキュメントを参照してデバイスのログ記録の構成手順を確認してください。

Log Analytics エージェントの構成

コネクタページにある [Open your workspace custom logs configuration](ワークスペースのカスタムログの構成を開く) リンクをクリックします。

または、Log Analytics ワークスペースのナビゲーションメニューから、 [カスタムログ] を選択します。
[カスタムテーブル] タブで、 [カスタムログの追加] を選択します。
[サンプル] タブで、デバイスからログファイルのサンプル (access.log や error.log など) をアップロードします。次に、 [次へ] を選択します。
[レコードの区切り記号] タブで、 [新しい行] または [タイムスタンプ] (そのタブの説明を参照) のいずれかのレコード区切り記号を選択し、 [次へ] を選択します。
[コレクションパス] タブで、Windows または Linux のパスの種類を選択し、構成に基づいてデバイスのログへのパスを入力します。次に、 [次へ] を選択します。
カスタムログに名前を付け、必要に応じて説明を指定して、 [次へ] を選択します。
"_CL" は自動的に追加されるため、これを名前の最後には付けないようにしてください。

データの検索

[ログ] でカスタムログデータのクエリを実行するには、カスタムログに付けた名前 ("_CL" で終わる) をクエリウィンドウに入力します。

次のステップ

このドキュメントでは、カスタムログの種類からデータを収集して Microsoft Sentinel に取り込む方法について説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。

データと潜在的な脅威を可視化する方法についての説明。
Microsoft Sentinel を使用した脅威の検出の概要。
ブックを使用してデータを監視する。

Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Sentinel に収集する