Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt beschreven hoe u syslog gebruikt via AMA en CEF (Common Event Format) via AMA-connectors om syslog-berichten, inclusief berichten in Common Event Format (CEF), van Linux-machines en van netwerk- en beveiligingsapparaten en -apparaten en -apparaten snel te filteren en op te nemen. Zie Syslog en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel voor meer informatie over deze gegevensconnectors.

Notitie

Container Insights ondersteunt nu de automatische verzameling Syslog-gebeurtenissen van Linux-knooppunten in uw AKS-clusters. Zie de Syslog-verzameling met Container Insights voor meer informatie.

Vereisten

Voordat u begint, moet u beschikken over de resources die zijn geconfigureerd en de juiste machtigingen zijn toegewezen, zoals beschreven in deze sectie.

Vereisten voor Microsoft Sentinel

Installeer de juiste Microsoft Sentinel-oplossing en zorg ervoor dat u over de machtigingen beschikt om de stappen in dit artikel uit te voeren.

• Installeer de juiste oplossing vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

• Bepaal welke gegevensconnector de Microsoft Sentinel-oplossing vereist: Syslog via AMA of Common Event Format (CEF) via AMA en of u de oplossing Syslog of Common Event Format moet installeren. Om aan deze vereiste te voldoen,

  • Selecteer beheren in de inhoudshub in de geïnstalleerde oplossing en controleer de gegevensconnector die wordt vermeld.

  • Als Syslog via AMA of Common Event Format (CEF) via AMA niet is geïnstalleerd met de oplossing, moet u bepalen of u de oplossing Syslog of Common Event Format moet installeren door uw apparaat of apparaat te vinden in een van de volgende artikelen:

    • CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel
    • Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel

    Installeer vervolgens de Syslog - of Common Event Format-oplossing van de inhoudshub om de gerelateerde AMA-gegevensconnector op te halen.

• Een Azure-account hebben met de volgende rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):

  Ingebouwde rol	Bereik	Reden
  - Inzender voor virtuele machines - Azure Connected Machine    Resourcebeheerder	Virtuele machines (VM's) Virtuele-machineschaalsets Servers met Azure Arc	De agent implementeren
  Elke rol die de actie bevat Microsoft.Resources/deployments/*	Abonnement Resourcegroep Bestaande regel voor gegevensverzameling	Azure Resource Manager-sjablonen implementeren
  Bijdrager voor bewaking	Abonnement Resourcegroep Bestaande regel voor gegevensverzameling	Regels voor gegevensverzameling maken of bewerken

Vereisten voor doorstuurserver voor logboeken

Als u berichten van een doorstuurserver verzamelt, zijn de volgende vereisten van toepassing:

• U moet een aangewezen Virtuele Linux-machine hebben als een doorstuurserver voor logboeken om logboeken te verzamelen.

  • Maak een Virtuele Linux-machine in Azure Portal.
  • Ondersteunde Linux-besturingssystemen voor Azure Monitor Agent.

• Als uw logboek-doorstuurserver geen virtuele Azure-machine is, moet de Azure Arc Connected Machine-agent erop zijn geïnstalleerd.

• Op de VM voor Linux-logboeken moet Python 2.7 of 3 zijn geïnstalleerd. Gebruik de python --version of python3 --version opdracht om te controleren. Als u Python 3 gebruikt, controleert u of deze is ingesteld als de standaardopdracht op de computer of voert u scripts uit met de opdracht 'python3' in plaats van 'python'.

• De doorstuurserver voor logboeken moet de syslog-ng daemon of rsyslog daemon hebben ingeschakeld.

• Raadpleeg de Azure Monitor Agent Performance Benchmark voor ruimtevereisten voor de doorstuurserver. U kunt dit blogbericht ook bekijken, inclusief ontwerpen voor schaalbare opname.

• Uw logboekbronnen, beveiligingsapparaten en apparaten moeten worden geconfigureerd om hun logboekberichten te verzenden naar de syslog-daemon van de logboek doorstuurserver in plaats van naar hun lokale syslog-daemon.

Vereisten voor machinebeveiliging

Configureer de beveiliging van de machine volgens het beveiligingsbeleid van uw organisatie. Configureer uw netwerk bijvoorbeeld zo dat dit overeenkomt met uw beveiligingsbeleid voor het bedrijfsnetwerk en wijzig de poorten en protocollen in de daemon zodat deze overeenkomen met uw vereisten. Als u de configuratie van uw machinebeveiliging wilt verbeteren, beveiligt u uw VIRTUELE machine in Azure of bekijkt u deze aanbevolen procedures voor netwerkbeveiliging.

Als uw apparaten syslog- en CEF-logboeken via TLS verzenden, omdat uw logboek-doorstuurserver zich bijvoorbeeld in de cloud bevindt, moet u de syslog-daemon (rsyslog of syslog-ng) configureren om te communiceren in TLS. Zie voor meer informatie:

• Syslog-verkeer versleutelen met TLS - rsyslog
• Logboekberichten versleutelen met TLS - syslog-ng

De gegevensconnector configureren

Het installatieproces voor syslog via AMA of Common Event Format (CEF) via AMA-gegevensconnectors omvat de volgende stappen:

1. Installeer de Azure Monitor-agent en maak een DCR (Data Collection Rule) met behulp van een van de volgende methoden:
   • Azure- of Defender-portal
   • Opname-API voor Azure Monitor-logboeken
2. Als u logboeken van andere computers verzamelt met behulp van een logboek-doorstuurserver, voert u het script Installatie uit op de logboekstuurserver om de syslog-daemon te configureren om te luisteren naar berichten van andere computers en om de benodigde lokale poorten te openen.

Selecteer het juiste tabblad voor instructies.

Azure- of Defender-portal

Regel voor gegevensverzameling maken (DCR)

Als u wilt beginnen, opent u syslog via AMA of Common Event Format (CEF) via AMA-gegevensconnector in Microsoft Sentinel en maakt u een DCR (Data Collection Rule).

1. Voor Microsoft Sentinel in Azure Portal selecteert u gegevensconnectors onder Configuratie.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Data-connectors.

2. Voor syslog typt u Syslog in het zoekvak . Selecteer in de resultaten de Syslog via AMA-connector .
   Typ CEF in het zoekvak voor CEF. Selecteer in de resultaten de CEF (Common Event Format) via de AMA-connector .

3. Selecteer De connectorpagina openen in het detailvenster.

4. Selecteer in het gebied Configuratie de optie +Regel voor gegevensverzameling maken.

   

   

5. Op het tabblad Basis :

   • Typ een DCR-naam.
   • Selecteer uw abonnement.
   • Selecteer de resourcegroep waar u de DCR wilt zoeken.

   

6. Selecteer Volgende: Resources >.

VM-resources definiëren

Selecteer op het tabblad Resources de machines waarop u de AMA wilt installeren, in dit geval uw machine voor het doorsturen van logboeken. Als de doorstuurserver voor logboeken niet wordt weergegeven in de lijst, is de Azure Connected Machine-agent mogelijk niet geïnstalleerd.

1. Gebruik de beschikbare filters of het zoekvak om uw VM voor logboek doorstuurserver te vinden. Vouw een abonnement in de lijst uit om de resourcegroepen en een resourcegroep weer te geven om de VM's te bekijken.

2. Selecteer de VM van de logboek-doorstuurserver waarop u de AMA wilt installeren. Het selectievakje wordt weergegeven naast de naam van de virtuele machine wanneer u de muisaanwijzer erop plaatst.

   

3. Controleer uw wijzigingen en selecteer Volgende: Verzamelen >.

Faciliteiten en ernst selecteren

Houd er rekening mee dat het gebruik van dezelfde faciliteit voor syslog- en CEF-berichten kan leiden tot duplicatie van gegevensopname. Zie Duplicatieverwijking van gegevensopnamen voor meer informatie.

1. Selecteer op het tabblad Verzamelen het minimale logboekniveau voor elke faciliteit. Wanneer u een logboekniveau selecteert, verzamelt Microsoft Sentinel logboeken voor het geselecteerde niveau en andere niveaus met een hogere ernst. Als u bijvoorbeeld LOG_ERR selecteert, verzamelt Microsoft Sentinel logboeken voor de niveaus LOG_ERR, LOG_CRIT, LOG_ALERT en LOG_EMERG.

   

2. Controleer uw selecties en selecteer Volgende: Beoordelen en maken.

De regel controleren en maken

Nadat u alle tabbladen hebt voltooid, controleert u wat u hebt ingevoerd en maakt u de regel voor gegevensverzameling.

1. Selecteer Maken op het tabblad Controleren en maken.

   

   De connector installeert de Azure Monitor-agent op de machines die u hebt geselecteerd bij het maken van uw DCR.

2. Controleer de meldingen in Azure Portal of Microsoft Defender Portal om te zien wanneer de DCR is gemaakt en de agent is geïnstalleerd.

3. Selecteer Vernieuwen op de connectorpagina om de DCR weer te geven die in de lijst wordt weergegeven.

Logboekopname-API

De Azure Monitor-agent installeren

Volg de juiste instructies in de Documentatie van Azure Monitor om de Azure Monitor-agent te installeren in de doorstuurserver voor logboeken. Vergeet niet om de instructies voor Linux te gebruiken, niet voor Windows.

• De AMA installeren met behulp van PowerShell
• De AMA installeren met behulp van de Azure CLI
• De AMA installeren met behulp van een Azure Resource Manager-sjabloon

U kunt regels voor gegevensverzameling (DCR's) maken met behulp van de Opname-API van Azure Monitor-logboeken. Zie Regels voor gegevensverzameling in Azure Monitor voor meer informatie.

De regel voor gegevensverzameling maken

Maak een JSON-bestand voor de regel voor gegevensverzameling, maak een API-aanvraag en verzend de aanvraag.

1. Bereid een DCR-bestand voor in JSON-indeling. De inhoud van dit bestand is de aanvraagbody in uw API-aanvraag.

   Zie de hoofdtekst van de aanvraag voor het maken van syslog/CEF DCR voor een voorbeeld. Als u syslog- en CEF-berichten wilt verzamelen in dezelfde regel voor gegevensverzameling, raadpleegt u het voorbeeld van Syslog- en CEF-stromen in dezelfde DCR.

   • Controleer of het streams veld is ingesteld Microsoft-Syslog op syslog-berichten of op Microsoft-CommonSecurityLog CEF-berichten.
   • Voeg de filter- en faciliteitlogboekniveaus toe in de facilityNames en logLevels parameters. Zie de secties Voorbeelden van faciliteiten en logboekniveaus.

2. Maak een API-aanvraag in een REST API-client van uw keuze.

   1. Kopieer voor de aanvraag-URL en header de volgende aanvraag-URL en header.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Vervang de juiste waarden voor de {subscriptionId} en {resourceGroupName} tijdelijke aanduidingen.
      • Voer een naam van uw keuze in voor de DCR in plaats van de {dataCollectionRuleName} tijdelijke aanduiding.

   2. Kopieer en plak voor de aanvraagbody de inhoud van het DCR JSON-bestand dat u hebt gemaakt (in stap 1 hierboven) in de aanvraagbody.

3. Verzend de aanvraag.

   Zie het antwoord syslog/CEF DCR maken voor een voorbeeld van het antwoord dat u moet ontvangen.

De DCR koppelen aan de logboekstuurserver

Nu moet u een DCR-koppeling (DCRA) maken die de DCR koppelt aan de VM-resource die als host fungeert voor de doorstuurserver voor logboeken.

1. Maak een API-aanvraag in een REST API-client van uw keuze.

2. Kopieer voor de aanvraag-URL en header de volgende aanvraag-URL en de header.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Vervang de juiste waarden voor de {subscriptionId}en {resourceGroupName}{virtualMachineName} tijdelijke aanduidingen.
   • Voer een naam van uw keuze in voor de DCR in plaats van de {dataCollectionRuleAssociationName} tijdelijke aanduiding.

3. Kopieer de volgende aanvraagbody voor de hoofdtekst van de aanvraag.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Vervang de juiste waarden voor de {subscriptionId} en {resourceGroupName} tijdelijke aanduidingen.
   • Voer een naam van uw keuze in voor de DCR in plaats van de {dataCollectionRuleName} tijdelijke aanduiding.

4. Verzend de aanvraag.

Voorbeelden van secties over faciliteiten en logboekniveaus

Bekijk deze voorbeelden van de instellingen voor faciliteiten en logboekniveaus. Het name veld bevat de filternaam.

Voor CEF-berichtopname moet "Microsoft-CommonSecurityLog" de waarde in "streams" plaats van "Microsoft-Syslog".

In dit voorbeeld worden gebeurtenissen verzameld van de , , en uucp local3 local0faciliteiten, met de Warningniveaus , ErrorCritical, en Emergency Alertlogboeken: daemoncron

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Syslog- en CEF-stromen in dezelfde DCR

In dit voorbeeld ziet u hoe u syslog- en CEF-berichten in dezelfde DCR kunt verzamelen.

De DCR verzamelt CEF-gebeurtenisberichten voor:

• De authpriv en mark faciliteiten met de Infoniveaus , , Notice, WarningError, Critical, , en AlertEmergency logboeken
• De daemon faciliteit met de Warningniveaus , Error, Criticalen AlertEmergency logboeken

Hiermee worden syslog-gebeurtenisberichten verzameld voor:

• De kern, local0, , local5en news faciliteiten met de Critical, Alerten Emergency logboekniveaus
• De mail en uucp faciliteiten met het Emergency logboekniveau

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Voer het script 'installation' uit

Als u een logboekstuurserver gebruikt, configureert u de syslog-daemon om te luisteren naar berichten van andere computers en opent u de benodigde lokale poorten.

1. Kopieer op de connectorpagina de opdrachtregel die wordt weergegeven onder Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:

   

   Of kopieer deze vanaf hier:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Meld u aan bij de machine voor het doorsturen van logboeken waar u de AMA zojuist hebt geïnstalleerd.

3. Plak de opdracht die u in de laatste stap hebt gekopieerd om het installatiescript te starten.
   Het script configureert de rsyslog of syslog-ng daemon om het vereiste protocol te gebruiken en start de daemon opnieuw op. Het script opent poort 514 om te luisteren naar binnenkomende berichten in zowel UDP- als TCP-protocollen. Als u deze instelling wilt wijzigen, raadpleegt u het configuratiebestand syslog daemon op basis van het daemon-type dat op de computer wordt uitgevoerd:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Als u Python 3 gebruikt en deze niet is ingesteld als de standaardopdracht op de computer, vervangt python3 python u deze in de geplakte opdracht. Zie vereisten voor de doorstuurserver voor logboeken.

   Notitie

   Om scenario's met volledige schijven te voorkomen waarbij de agent niet kan functioneren, raden we u aan om de syslog-ng of rsyslog configuratie niet in te stellen om overbodige logboeken op te slaan. Een scenario met volledige schijf verstoort de functie van de geïnstalleerde AMA. Zie RSyslog of Syslog-ng voor meer informatie.

Het beveiligingsapparaat of apparaat configureren

Krijg specifieke instructies voor het configureren van uw beveiligingsapparaat of apparaat door naar een van de volgende artikelen te gaan:

• CEF via AMA-gegevensconnector - Specifieke apparaten en apparaten configureren voor gegevensopname van Microsoft Sentinel
• Syslog via AMA-gegevensconnector - Specifieke apparaten en apparaten configureren voor gegevensopname van Microsoft Sentinel

Neem contact op met de oplossingsprovider voor meer informatie of waar informatie niet beschikbaar is voor het apparaat of apparaat.

De connector testen

Controleer of berichten van uw Linux-machine of beveiligingsapparaten en -apparaten worden opgenomen in Microsoft Sentinel.

1. Voer deze opdracht uit om te controleren of de syslog-daemon wordt uitgevoerd op de UDP-poort en of de AMA luistert:

   netstat -lnptv
   

   U ziet de rsyslog of syslog-ng daemon die luistert op poort 514.

2. Als u berichten wilt vastleggen die zijn verzonden vanaf een logger of een verbonden apparaat, voert u deze opdracht op de achtergrond uit:

   tcpdump -i any port 514 -A -vv &
   

3. Nadat u de validatie hebt voltooid, wordt u aangeraden het tcpdumpvolgende te stoppen: Type fg en vervolgens Ctrl+C te selecteren.

4. Voer de volgende stappen uit om demoberichten te verzenden:

   • Gebruik het netcat-hulpprogramma. In dit voorbeeld leest het hulpprogramma gegevens die via de echo opdracht zijn gepost met de schakeloptie newline uitgeschakeld. Het hulpprogramma schrijft vervolgens de gegevens naar de UDP-poort 514 op de localhost zonder time-out. Als u het netcat-hulpprogramma wilt uitvoeren, moet u mogelijk een ander pakket installeren.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Gebruik de logger. In dit voorbeeld wordt het bericht naar de local 4 faciliteit geschreven, op ernstniveau Warning, naar poort 514, op de lokale host, in de CEF RFC-indeling. De -t en --rfc3164 vlaggen worden gebruikt om te voldoen aan de verwachte RFC-indeling.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Als u wilt controleren of de connector correct is geïnstalleerd, voert u het script voor probleemoplossing uit met een van deze opdrachten:

   • Voer voor CEF-logboeken het volgende uit:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • Voer voor ASA-logboeken (Adaptive Security Appliance) van Cisco:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • Voer voor FTD-logboeken (Cisco Firepower Threat Defense) de volgende opdracht uit:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

Gerelateerde inhoud

• Syslog en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel
• Regels voor gegevensverzameling in Azure Monitor
• CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel
• Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor de gegevensopname van Microsoft Sentinel