[Не рекомендуется] Сбор данных в пользовательских форматах журналов в Microsoft Sentinel с помощью агента Log Analytics
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
В этой статье описывается сбор данных с устройств, использующих пользовательские форматы журналов в Microsoft Sentinel с помощью агента Log Analytics. Сведения о приеме пользовательских журналов с помощью агента Azure Monitor (AMA) см. в статье Сбор журналов из текстовых файлов с помощью агента Azure Monitor и приема в Microsoft Sentinel.
Многие приложения записывают данные в текстовые файлы вместо стандартных служб журналирования, таких как журнал событий Windows или системный журнал. Вы можете использовать агент Log Analytics для сбора данных в текстовых файлах нестандартных форматов с компьютеров Windows и Linux. Вы можете проанализировать собранные данные с разделением на отдельные поля в ваших запросах или во время сбора извлечь данные в отдельные поля.
Дополнительные сведения о поддерживаемых соединителях данных, которые собирают пользовательские форматы журналов, см . в справочнике по соединителям данных.
Внимание
Агент Log Analytics будет прекращен 31 августа 2024 г. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется выполнить миграцию в агент Azure Monitor (AMA). Дополнительные сведения см. в статье Переход на AMA для Microsoft Sentinel.
Узнайте все о настраиваемых журналах в документации по Azure Monitor.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Установите агент Log Analytics
Установите агент Log Analytics на компьютер Linux или Windows, который будет создавать журналы.
Некоторые поставщики рекомендуют устанавливать агент Log Analytics на отдельном сервере журналов, а не непосредственно на устройстве. Обратитесь к разделу вашего продукта на странице Справка по коннекторам данных или в собственной документации к вашему продукту.
Выберите соответствующую вкладку ниже, в зависимости от того, является ли соединитель частью решения, указанного в центре содержимого Microsoft Sentinel или нет.
Прежде чем начать, установите решение для продукта из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля". После того как соединитель данных для продукта будет доступен, выполните следующие действия.
В меню навигации Microsoft Sentinel выберите Соединители данных.
Найдите и выберите соответствующий соединитель данных продукта.
Выберите Открыть страницу соединителя.
Установите и подключите агент на устройстве, которое создает журналы. Выберите Linux или Windows в зависимости от ситуации.
Тип компьютера Instructions Для виртуальной машины Linux - В разделе Выберите место для установки агента Linux разверните Установить агент на виртуальной машине Azure Linux.
- Выберите ссылку "Скачать и установить" для виртуальных машин > Linux Azure.
- В колонке Виртуальные машины выберите виртуальную машину для установки агента, после чего выберите Подключить. Повторите этот шаг для каждой виртуальной машины, которую вы хотите подключить.
Для любой другой виртуальной машины Linux - В разделе Выберите место для установки агента Linux разверните Установить агент на машине Linux, отличной от Azure.
- Выберите агент загрузки и установки для компьютеров, отличных > от Azure Linux.
- В колонке Управление агентами выберите вкладку Серверы Linux , затем скопируйте команду для Загрузить и встроить агент для Linux и запустите ее на своем компьютере с Linux.
Если вы хотите сохранить локальную копию установочного файла агента Linux, выберите ссылку Загрузить агент Linux над командой "Загрузить и установить агент".
Для виртуальной машины Windows Azure - В разделе Выберите место для установки агента Windows разверните Установить агент на виртуальной машине Windows Azure.
- Выберите ссылку "Скачать и установить" для виртуальных машин > Windows Azure.
- В колонке Виртуальные машины выберите виртуальную машину для установки агента, после чего выберите Подключить. Повторите этот шаг для каждой виртуальной машины, которую вы хотите подключить.
Для любой другой машины с Windows - В разделе Выберите, где установить агент Windows разверните Установить агент на компьютере под управлением Windows, отличном от Azure
- Выберите агент загрузки и установки для компьютеров>, отличных от Azure.
- В колонке Управление агентами на вкладке Серверы Windows выберите ссылку Загрузить агент Windows для 32-разрядных или 64-разрядных систем соответственно.
- В разделе Выберите место для установки агента Linux разверните Установить агент на виртуальной машине Azure Linux.
Настройка журналов для сбора
Многие типы устройств имеют собственные соединители данных, которые отображаются на странице Соединители данных в Microsoft Sentinel. Для некоторых из этих соединителей для правильной настройки сбора журналов в Microsoft Sentinel требуется наличие специальных дополнительных инструкций. Эти инструкции могут включать реализацию средства синтаксического анализа на основе функции Kusto.
Все соединители, перечисленные в Microsoft Sentinel, будут отображать любые конкретные инструкции на соответствующих страницах соединителей на портале, а также в соответствующих разделах страницы Справочник по соединителям данных Microsoft Sentinel.
Если у вашего продукта нет решения с соединителем данных, перечисленным в Центре содержимого, обратитесь к документации поставщика по настройке ведения журнала для устройства.
Настройка агента Log Analytics
На странице соединителя выберите ссылку Открыть конфигурацию пользовательских журналов рабочей области.
Либо выберите Пользовательские журналы в меню навигации рабочей области Log Analytics.
На вкладке Пользовательские таблицы выберите Добавить пользовательский журнал.
На вкладке Образец загрузите образец файла журнала со своего устройства (например, access.log или error.log). Затем выберите Далее.
На вкладке Разделитель записи выберите разделитель записи: Новая строка или Отметка времени (см. Инструкции на этой вкладке) и нажмите Далее.
На вкладке Пути сбора выберите тип пути Windows или Linux и введите путь к журналам вашего устройства в зависимости от вашей конфигурации. Затем выберите Далее.
Присвойте своему пользовательскому журналу имя и, при необходимости, описание и нажмите Далее.
Не заканчивайте имя на "_CL", так как оно будет добавлено автоматически.
Поиск данных
Чтобы запросить данные пользовательского журнала в журналах, введите имя, которое вы присвоили своему пользовательскому журналу (заканчивающееся на "_CL"), в окне запроса.
Следующие шаги
В этом документе вы узнали, как собирать данные из настраиваемых типов журналов для их передачи в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.