[Afgeschaft] Gegevens verzamelen in aangepaste logboekindelingen naar Microsoft Sentinel met de Log Analytics-agent
Belangrijk
Logboekverzameling van veel apparaten en apparaten wordt nu ondersteund door de Common Event Format (CEF) via AMA, Syslog via AMA of aangepaste logboeken via AMA-gegevensconnector in Microsoft Sentinel. Zie Uw Microsoft Sentinel-gegevensconnector zoeken voor meer informatie.
In dit artikel wordt beschreven hoe u gegevens verzamelt van apparaten die gebruikmaken van aangepaste logboekindelingen naar Microsoft Sentinel met behulp van de Log Analytics-agent. Zie Logboeken verzamelen uit tekstbestanden met de Azure Monitor-agent en opnemen in Microsoft Sentinel voor meer informatie over het opnemen van aangepaste logboeken met behulp van de Azure Monitor-agent (AMA).
Veel toepassingen registreren gegevens naar tekstbestanden in plaats van standaardservices voor logboekregistratie, zoals Windows-gebeurtenislogboek of Syslog. U kunt de Log Analytics-agent gebruiken om gegevens te verzamelen in tekstbestanden met niet-standaardindelingen van zowel Windows- als Linux-computers. Zodra de gegevens zijn verzameld, kunt u de gegevens parseren in afzonderlijke velden in uw query's of de gegevens extraheren tijdens het verzamelen naar afzonderlijke velden.
Zie de naslaginformatie over gegevensconnectors voor meer informatie over ondersteunde gegevensconnectors die aangepaste logboekindelingen verzamelen.
Belangrijk
De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, wordt u aangeraden de migratie naar de Azure Monitor-agent (AMA) te voltooien. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.
Meer informatie over aangepaste logboeken in de Documentatie van Azure Monitor.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
De Log Analytics-agent installeren
Installeer de Log Analytics-agent op de Linux- of Windows-computer die de logboeken genereert.
Sommige leveranciers raden aan om de Log Analytics-agent op een afzonderlijke logboekserver te installeren in plaats van rechtstreeks op het apparaat. Raadpleeg de sectie van uw product op de referentiepagina gegevensconnectors of de eigen documentatie van uw product.
Selecteer het juiste tabblad hieronder, afhankelijk van of uw connector deel uitmaakt van de oplossing die wordt vermeld in de inhoudshub van Microsoft Sentinel of niet.
Voordat u begint, installeert u de oplossing voor het product vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie. Zodra de gegevensconnector voor het product beschikbaar is, gaat u verder met de volgende stappen.
Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.
Zoek en selecteer de juiste productgegevensconnector.
Selecteer de pagina Verbindingslijn openen.
Installeer en onboard de agent op het apparaat dat de logboeken genereert. Kies Linux of Windows indien van toepassing.
Type computer Instructies Voor een Virtuele Linux-machine in Azure - Vouw onder Kiezen waar u de Linux-agent wilt installeren de installatieagent uit op de virtuele Linux-machine van Azure.
- Selecteer de koppeling Download & install-agent voor virtuele Azure Linux-machines > .
- Selecteer op de blade Virtuele machines een virtuele machine waarop u de agent wilt installeren en selecteer vervolgens Verbinding maken. Herhaal deze stap voor elke VIRTUELE machine die u wilt verbinden.
Voor elke andere Linux-machine - Vouw onder Kiezen waar u de Linux-agent wilt installeren de installatieagent uit op een niet-Azure Linux-machine.
- Selecteer de koppeling Download & install-agent voor niet-Azure Linux-machines > .
- Selecteer op de blade Agents-beheer het tabblad Linux-servers , kopieer de opdracht voor Agent downloaden en onboarden voor Linux en voer deze uit op uw Linux-computer.
Als u een lokale kopie van het installatiebestand van de Linux-agent wilt behouden, selecteert u de koppeling Linux-agent downloaden boven de opdracht Agent downloaden en onboarden.
Voor een Virtuele Azure Windows-machine - Vouw onder Kiezen waar u de Windows-agent wilt installeren de installatieagent uit op de virtuele Azure Windows-machine.
- Selecteer de koppeling Download & install-agent voor Virtuele Azure Windows-machines > .
- Selecteer op de blade Virtuele machines een virtuele machine waarop u de agent wilt installeren en selecteer vervolgens Verbinding maken. Herhaal deze stap voor elke VIRTUELE machine die u wilt verbinden.
Voor elke andere Windows-computer - Vouw onder Kiezen waar u de Windows-agent wilt installeren de installatieagent uit op een niet-Azure Windows-computer
- Selecteer de koppeling Download & install-agent voor niet-Azure Windows-machines > .
- Selecteer op de blade Agents-beheer op het tabblad Windows-servers de koppeling Windows Agent downloaden voor 32-bits of 64-bits systemen, indien van toepassing.
- Vouw onder Kiezen waar u de Linux-agent wilt installeren de installatieagent uit op de virtuele Linux-machine van Azure.
De logboeken configureren die moeten worden verzameld
Veel apparaattypen hebben hun eigen gegevensconnectors die worden weergegeven op de pagina Gegevensconnectors in Microsoft Sentinel. Sommige van deze connectors vereisen speciale aanvullende instructies voor het correct instellen van logboekverzameling in Microsoft Sentinel. Deze instructies kunnen de implementatie van een parser bevatten op basis van een Kusto-functie.
Alle connectors die in Microsoft Sentinel worden vermeld, geven specifieke instructies weer op hun respectieve connectorpagina's in de portal, evenals in de secties van de referentiepagina voor Microsoft Sentinel-gegevensconnectors .
Als uw product geen oplossing heeft met een gegevensconnector die wordt vermeld in de Content Hub, raadpleegt u de documentatie van uw leverancier voor instructies over het configureren van logboekregistratie voor uw apparaat.
De Log Analytics-agent configureren
Selecteer op de connectorpagina de koppeling Aangepaste logboeken voor uw werkruimte openen .
Of selecteer in het navigatiemenu van de Log Analytics-werkruimte aangepaste logboeken.
Selecteer Op het tabblad Aangepaste tabellen de optie Aangepast logboek toevoegen.
Upload op het tabblad Voorbeeld een voorbeeld van een logboekbestand vanaf uw apparaat (bijvoorbeeld access.log of error.log). Selecteer vervolgens Volgende.
Selecteer op het tabblad Recordscheidingsteken een recordscheidingsteken, nieuwe regel of tijdstempel (zie de instructies op dat tabblad) en selecteer Volgende.
Selecteer op het tabblad Verzamelingspaden een padtype van Windows of Linux en voer het pad in naar de logboeken van uw apparaat op basis van uw configuratie. Selecteer vervolgens Volgende.
Geef uw aangepaste logboek een naam en eventueel een beschrijving en selecteer Volgende.
Beƫindig uw naam niet met '_CL', omdat deze automatisch wordt toegevoegd.
Uw gegevens zoeken
Als u een query wilt uitvoeren op de aangepaste logboekgegevens in Logboeken, typt u de naam die u hebt opgegeven in het aangepaste logboek (eindigend op '_CL') in het queryvenster.
Volgende stappen
In dit document hebt u geleerd hoe u gegevens kunt verzamelen van aangepaste logboektypen die moeten worden opgenomen in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiƫle bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.