Delen via


Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent

In dit artikel wordt beschreven hoe u syslog gebruikt via AMA en CEF (Common Event Format) via AMA-connectors om syslog-berichten, inclusief berichten in Common Event Format (CEF), van Linux-machines en van netwerk- en beveiligingsapparaten en -apparaten en -apparaten snel te filteren en op te nemen. Zie Syslog en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel voor meer informatie over deze gegevensconnectors.

Notitie

Container Insights ondersteunt nu de automatische verzameling Syslog-gebeurtenissen van Linux-knooppunten in uw AKS-clusters. Zie de Syslog-verzameling met Container Insights voor meer informatie.

Vereisten

Voordat u begint, moet u beschikken over de resources die zijn geconfigureerd en de juiste machtigingen zijn toegewezen, zoals beschreven in deze sectie.

Vereisten voor Microsoft Sentinel

Installeer de juiste Microsoft Sentinel-oplossing en zorg ervoor dat u over de machtigingen beschikt om de stappen in dit artikel uit te voeren.

Vereisten voor doorstuurserver voor logboeken

Als u berichten van een doorstuurserver verzamelt, zijn de volgende vereisten van toepassing:

  • U moet een aangewezen Virtuele Linux-machine hebben als een doorstuurserver voor logboeken om logboeken te verzamelen.

  • Als uw logboek-doorstuurserver geen virtuele Azure-machine is, moet de Azure Arc Connected Machine-agent erop zijn geïnstalleerd.

  • Op de VM voor Linux-logboeken moet Python 2.7 of 3 zijn geïnstalleerd. Gebruik de python --version of python3 --version opdracht om te controleren. Als u Python 3 gebruikt, controleert u of deze is ingesteld als de standaardopdracht op de computer of voert u scripts uit met de opdracht 'python3' in plaats van 'python'.

  • De doorstuurserver voor logboeken moet de syslog-ng daemon of rsyslog daemon hebben ingeschakeld.

  • Raadpleeg de Azure Monitor Agent Performance Benchmark voor ruimtevereisten voor de doorstuurserver. U kunt dit blogbericht ook bekijken, inclusief ontwerpen voor schaalbare opname.

  • Uw logboekbronnen, beveiligingsapparaten en apparaten moeten worden geconfigureerd om hun logboekberichten te verzenden naar de syslog-daemon van de logboek doorstuurserver in plaats van naar hun lokale syslog-daemon.

Vereisten voor machinebeveiliging

Configureer de beveiliging van de machine volgens het beveiligingsbeleid van uw organisatie. Configureer uw netwerk bijvoorbeeld zo dat dit overeenkomt met uw beveiligingsbeleid voor het bedrijfsnetwerk en wijzig de poorten en protocollen in de daemon zodat deze overeenkomen met uw vereisten. Als u de configuratie van uw machinebeveiliging wilt verbeteren, beveiligt u uw VIRTUELE machine in Azure of bekijkt u deze aanbevolen procedures voor netwerkbeveiliging.

Als uw apparaten syslog- en CEF-logboeken via TLS verzenden, omdat uw logboek-doorstuurserver zich bijvoorbeeld in de cloud bevindt, moet u de syslog-daemon (rsyslog of syslog-ng) configureren om te communiceren in TLS. Zie voor meer informatie:

De gegevensconnector configureren

Het installatieproces voor syslog via AMA of Common Event Format (CEF) via AMA-gegevensconnectors omvat de volgende stappen:

  1. Installeer de Azure Monitor-agent en maak een DCR (Data Collection Rule) met behulp van een van de volgende methoden:
  2. Als u logboeken van andere computers verzamelt met behulp van een logboek-doorstuurserver, voert u het script Installatie uit op de logboekstuurserver om de syslog-daemon te configureren om te luisteren naar berichten van andere computers en om de benodigde lokale poorten te openen.

Selecteer het juiste tabblad voor instructies.

Regel voor gegevensverzameling maken (DCR)

Als u wilt beginnen, opent u syslog via AMA of Common Event Format (CEF) via AMA-gegevensconnector in Microsoft Sentinel en maakt u een DCR (Data Collection Rule).

  1. Voor Microsoft Sentinel in Azure Portal selecteert u gegevensconnectors onder Configuratie.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Data-connectors.

  2. Voor syslog typt u Syslog in het zoekvak . Selecteer in de resultaten de Syslog via AMA-connector .
    Typ CEF in het zoekvak voor CEF. Selecteer in de resultaten de CEF (Common Event Format) via de AMA-connector .

  3. Selecteer De connectorpagina openen in het detailvenster.

  4. Selecteer in het gebied Configuratie de optie +Regel voor gegevensverzameling maken.

    Schermopname van de pagina Syslog via AMA-connector.

    Schermopname van de pagina CEF via AMA-connector.

  5. Op het tabblad Basis :

    • Typ een DCR-naam.
    • Selecteer uw abonnement.
    • Selecteer de resourcegroep waar u de DCR wilt zoeken.

    Schermopname van de DCR-details op het tabblad Basis.

  6. Selecteer Volgende: Resources >.

VM-resources definiëren

Selecteer op het tabblad Resources de machines waarop u de AMA wilt installeren, in dit geval uw machine voor het doorsturen van logboeken. Als de doorstuurserver voor logboeken niet wordt weergegeven in de lijst, is de Azure Connected Machine-agent mogelijk niet geïnstalleerd.

  1. Gebruik de beschikbare filters of het zoekvak om uw VM voor logboek doorstuurserver te vinden. Vouw een abonnement in de lijst uit om de resourcegroepen en een resourcegroep weer te geven om de VM's te bekijken.

  2. Selecteer de VM van de logboek-doorstuurserver waarop u de AMA wilt installeren. Het selectievakje wordt weergegeven naast de naam van de virtuele machine wanneer u de muisaanwijzer erop plaatst.

    Schermopname die laat zien hoe u resources selecteert bij het instellen van de DCR.

  3. Controleer uw wijzigingen en selecteer Volgende: Verzamelen >.

Faciliteiten en ernst selecteren

Houd er rekening mee dat het gebruik van dezelfde faciliteit voor syslog- en CEF-berichten kan leiden tot duplicatie van gegevensopname. Zie Duplicatieverwijking van gegevensopnamen voor meer informatie.

  1. Selecteer op het tabblad Verzamelen het minimale logboekniveau voor elke faciliteit. Wanneer u een logboekniveau selecteert, verzamelt Microsoft Sentinel logboeken voor het geselecteerde niveau en andere niveaus met een hogere ernst. Als u bijvoorbeeld LOG_ERR selecteert, verzamelt Microsoft Sentinel logboeken voor de niveaus LOG_ERR, LOG_CRIT, LOG_ALERT en LOG_EMERG.

    Schermopname die laat zien hoe u logboekniveaus selecteert bij het instellen van de DCR.

  2. Controleer uw selecties en selecteer Volgende: Beoordelen en maken.

De regel controleren en maken

Nadat u alle tabbladen hebt voltooid, controleert u wat u hebt ingevoerd en maakt u de regel voor gegevensverzameling.

  1. Selecteer Maken op het tabblad Controleren en maken.

    Schermopname die laat zien hoe u de configuratie van de DCR controleert en maakt.

    De connector installeert de Azure Monitor-agent op de machines die u hebt geselecteerd bij het maken van uw DCR.

  2. Controleer de meldingen in Azure Portal of Microsoft Defender Portal om te zien wanneer de DCR is gemaakt en de agent is geïnstalleerd.

  3. Selecteer Vernieuwen op de connectorpagina om de DCR weer te geven die in de lijst wordt weergegeven.

Voer het script 'installation' uit

Als u een logboekstuurserver gebruikt, configureert u de syslog-daemon om te luisteren naar berichten van andere computers en opent u de benodigde lokale poorten.

  1. Kopieer op de connectorpagina de opdrachtregel die wordt weergegeven onder Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:

    Schermopname van de opdrachtregel op de connectorpagina.

    Of kopieer deze vanaf hier:

    sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
    
  2. Meld u aan bij de machine voor het doorsturen van logboeken waar u de AMA zojuist hebt geïnstalleerd.

  3. Plak de opdracht die u in de laatste stap hebt gekopieerd om het installatiescript te starten.
    Het script configureert de rsyslog of syslog-ng daemon om het vereiste protocol te gebruiken en start de daemon opnieuw op. Het script opent poort 514 om te luisteren naar binnenkomende berichten in zowel UDP- als TCP-protocollen. Als u deze instelling wilt wijzigen, raadpleegt u het configuratiebestand syslog daemon op basis van het daemon-type dat op de computer wordt uitgevoerd:

    • Rsyslog: /etc/rsyslog.conf
    • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

    Als u Python 3 gebruikt en deze niet is ingesteld als de standaardopdracht op de computer, vervangt python3 python u deze in de geplakte opdracht. Zie vereisten voor de doorstuurserver voor logboeken.

    Notitie

    Om scenario's met volledige schijven te voorkomen waarbij de agent niet kan functioneren, raden we u aan om de syslog-ng of rsyslog configuratie niet in te stellen om overbodige logboeken op te slaan. Een scenario met volledige schijf verstoort de functie van de geïnstalleerde AMA. Zie RSyslog of Syslog-ng voor meer informatie.

Het beveiligingsapparaat of apparaat configureren

Krijg specifieke instructies voor het configureren van uw beveiligingsapparaat of apparaat door naar een van de volgende artikelen te gaan:

Neem contact op met de oplossingsprovider voor meer informatie of waar informatie niet beschikbaar is voor het apparaat of apparaat.

De connector testen

Controleer of berichten van uw Linux-machine of beveiligingsapparaten en -apparaten worden opgenomen in Microsoft Sentinel.

  1. Voer deze opdracht uit om te controleren of de syslog-daemon wordt uitgevoerd op de UDP-poort en of de AMA luistert:

    netstat -lnptv
    

    U ziet de rsyslog of syslog-ng daemon die luistert op poort 514.

  2. Als u berichten wilt vastleggen die zijn verzonden vanaf een logger of een verbonden apparaat, voert u deze opdracht op de achtergrond uit:

    tcpdump -i any port 514 -A -vv &
    
  3. Nadat u de validatie hebt voltooid, wordt u aangeraden het tcpdumpvolgende te stoppen: Type fg en vervolgens Ctrl+C te selecteren.

  4. Voer de volgende stappen uit om demoberichten te verzenden:

    • Gebruik het netcat-hulpprogramma. In dit voorbeeld leest het hulpprogramma gegevens die via de echo opdracht zijn gepost met de schakeloptie newline uitgeschakeld. Het hulpprogramma schrijft vervolgens de gegevens naar de UDP-poort 514 op de localhost zonder time-out. Als u het netcat-hulpprogramma wilt uitvoeren, moet u mogelijk een ander pakket installeren.

      echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
      
    • Gebruik de logger. In dit voorbeeld wordt het bericht naar de local 4 faciliteit geschreven, op ernstniveau Warning, naar poort 514, op de lokale host, in de CEF RFC-indeling. De -t en --rfc3164 vlaggen worden gebruikt om te voldoen aan de verwachte RFC-indeling.

      logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
      
  5. Als u wilt controleren of de connector correct is geïnstalleerd, voert u het script voor probleemoplossing uit met een van deze opdrachten:

    • Voer voor CEF-logboeken het volgende uit:

       sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
      
    • Voer voor ASA-logboeken (Adaptive Security Appliance) van Cisco:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
      
    • Voer voor FTD-logboeken (Cisco Firepower Threat Defense) de volgende opdracht uit:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd