Zbieranie danych w niestandardowych formatach dziennika w usłudze Microsoft Sentinel przy użyciu agenta usługi Log Analytics

Wiele aplikacji rejestruje dane w plikach tekstowych zamiast standardowych usług rejestrowania, takich jak dziennik zdarzeń systemu Windows lub dziennik syslog. Agent usługi Log Analytics służy do zbierania danych w plikach tekstowych niestandardowych formatów zarówno z komputerów z systemem Windows, jak i Linux. Po zebraniu można przeanalizować dane w poszczególnych polach w zapytaniach lub wyodrębnić dane podczas zbierania do poszczególnych pól.

W tym artykule opisano sposób łączenia źródeł danych z usługą Microsoft Sentinel przy użyciu niestandardowych formatów dziennika. Aby uzyskać więcej informacji na temat obsługiwanych łączników danych korzystających z tej metody, zobacz Dokumentacja łączników danych.

Ważne

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA. Aby uzyskać więcej informacji, zobacz Migracja usługi AMA dla usługi Microsoft Sentinel.

Dowiedz się więcej o dziennikach niestandardowych w dokumentacji usługi Azure Monitor.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Instalowanie agenta usługi Log Analytics

Zainstaluj agenta usługi Log Analytics na maszynie z systemem Linux lub Windows, która będzie generować dzienniki.

Niektórzy dostawcy zaleca zainstalowanie agenta usługi Log Analytics na oddzielnym serwerze dzienników zamiast bezpośrednio na urządzeniu. Zapoznaj się z sekcją produktu na stronie referencyjnej Łączniki danych lub dokumentacją produktu.

Wybierz odpowiednią kartę poniżej, w zależności od tego, czy łącznik jest częścią rozwiązania wymienionego w centrum zawartości usługi Microsoft Sentinel, czy nie.

Na stronie określonego łącznika danych

Przed rozpoczęciem zainstaluj rozwiązanie dla produktu z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią. Po udostępnieniu łącznika danych dla produktu wykonaj następujące kroki.

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

2. Wyszukaj i wybierz odpowiedni łącznik danych produktu.

3. Wybierz pozycję Otwórz stronę łącznika.

4. Zainstaluj i dołącz agenta na urządzeniu, które generuje dzienniki. Wybierz odpowiednio system Linux lub Windows.

   Typ maszyny	Instrukcje
   W przypadku maszyny wirtualnej z systemem Linux platformy Azure	W obszarze Wybierz miejsce instalacji agenta systemu Linux rozwiń węzeł Zainstaluj agenta na maszynie wirtualnej z systemem Linux platformy Azure. Wybierz link Pobierz i zainstaluj agenta dla maszyn wirtualnych z systemem Linux platformy > Azure. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połączenie. Powtórz ten krok dla każdej maszyny wirtualnej, którą chcesz nawiązać połączenie.
   Dla każdej innej maszyny z systemem Linux	W obszarze Wybierz miejsce instalowania agenta systemu Linux rozwiń węzeł Zainstaluj agenta na maszynie z systemem Linux spoza platformy Azure. Wybierz link Pobierz i zainstaluj agenta dla maszyn z systemem Linux spoza platformy > Azure. W bloku Zarządzanie agentami wybierz kartę Serwery z systemem Linux, a następnie skopiuj polecenie Pobierz i dołącz agenta dla systemu Linux i uruchom je na maszynie z systemem Linux. Jeśli chcesz zachować lokalną kopię pliku instalacyjnego agenta systemu Linux, wybierz link Pobierz agenta systemu Linux powyżej polecenia "Pobierz i dołącz agenta".
   W przypadku maszyny wirtualnej z systemem Windows platformy Azure	W obszarze Wybierz miejsce instalacji agenta systemu Windows rozwiń węzeł Zainstaluj agenta na maszynie wirtualnej z systemem Windows platformy Azure. Wybierz link Pobierz i zainstaluj agenta dla maszyn wirtualnych platformy > Azure z systemem Windows. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połączenie. Powtórz ten krok dla każdej maszyny wirtualnej, którą chcesz nawiązać połączenie.
   W przypadku każdej innej maszyny z systemem Windows	W obszarze Wybierz miejsce instalowania agenta systemu Windows rozwiń węzeł Zainstaluj agenta na maszynie z systemem Windows spoza platformy Azure Wybierz link Pobierz i zainstaluj agenta dla maszyn z systemem Windows spoza platformy > Azure. W bloku Zarządzanie agentami na karcie Serwery z systemem Windows wybierz link Pobierz agenta systemu Windows dla systemów 32-bitowych lub 64-bitowych, zgodnie z potrzebami.

Inne źródła danych

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Ustawienia, a następnie kartę Ustawienia obszaru roboczego.

2. Zainstaluj i dołącz agenta na urządzeniu, które generuje dzienniki. Wybierz odpowiednio system Linux lub Windows.

   Typ maszyny	Instrukcje
   Maszyna wirtualna platformy Azure (Windows lub Linux)	Z menu nawigacji obszaru roboczego usługi Log Analytics wybierz pozycję Maszyny wirtualne. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połączenie. Powtórz ten krok dla każdej maszyny wirtualnej, którą chcesz nawiązać połączenie.
   Dowolna inna maszyna z systemem Windows lub Linux	W menu nawigacji obszaru roboczego usługi Log Analytics wybierz pozycję Zarządzanie agentami. Wybierz odpowiednią kartę Serwery z systemem Windows lub Serwery z systemem Linux. W przypadku systemu Windows wybierz link Pobierz agenta systemu Windows dla systemów 32-bitowych lub 64-bitowych, zgodnie z potrzebami. W przypadku systemu Linux skopiuj polecenie Pobierz i dołącz agenta dla systemu Linux i uruchom je z wiersza polecenia lub wybierz link Pobierz agenta systemu Linux, aby pobrać lokalną kopię pliku instalacyjnego.

Konfigurowanie dzienników do zebrania

Wiele typów urządzeń ma własne łączniki danych wyświetlane na stronie Łączniki danych w usłudze Microsoft Sentinel. Niektóre z tych łączników wymagają specjalnych dodatkowych instrukcji w celu prawidłowego skonfigurowania zbierania dzienników w usłudze Microsoft Sentinel. Te instrukcje mogą obejmować implementację analizatora na podstawie funkcji Kusto.

Wszystkie łączniki wymienione w usłudze Microsoft Sentinel będą wyświetlać wszelkie konkretne instrukcje na odpowiednich stronach łącznika w portalu, a także w sekcjach strony referencyjnej łączników danych usługi Microsoft Sentinel.

Jeśli produkt nie ma rozwiązania z łącznikiem danych wymienionym w centrum zawartości, zapoznaj się z dokumentacją dostawcy, aby uzyskać instrukcje dotyczące konfigurowania rejestrowania dla urządzenia.

Konfigurowanie agenta usługi Log Analytics

1. Na stronie łącznika wybierz link Otwórz konfigurację dzienników niestandardowych obszaru roboczego.

   Lub z menu nawigacji obszaru roboczego usługi Log Analytics wybierz pozycję Dzienniki niestandardowe.

2. Na karcie Tabele niestandardowe wybierz pozycję Dodaj dziennik niestandardowy.

3. Na karcie Przykład przekaż przykład pliku dziennika z urządzenia (np. access.log lub error.log). Następnie wybierz Dalej.

4. Na karcie Ogranicznik rekordu wybierz ogranicznik rekordu, nowy wiersz lub znacznik czasu (zobacz instrukcje na tej karcie), a następnie wybierz pozycję Dalej.

5. Na karcie Ścieżki kolekcji wybierz typ ścieżki systemu Windows lub Linux i wprowadź ścieżkę do dzienników urządzenia na podstawie konfiguracji. Następnie wybierz Dalej.

6. Nadaj dziennikowi niestandardowemu nazwę i opcjonalnie opis, a następnie wybierz przycisk Dalej.
   Nie kończ nazwy "_CL", ponieważ zostanie ona dołączona automatycznie.

Znajdowanie danych

Aby wykonać zapytanie dotyczące niestandardowych danych dziennika w dziennikach, wpisz nazwę nadaną dziennikowi niestandardowemu (kończącym się ciągiem "_CL") w oknie zapytania.

Następne kroki

W tym dokumencie przedstawiono sposób zbierania danych z niestandardowych typów dzienników w celu pozyskiwania ich do usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .