Zbieranie danych ze źródeł opartych na systemie Linux przy użyciu usługi Syslog

  • Artykuł

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Syslog to protokół rejestrowania zdarzeń, który jest wspólny dla systemu Linux. Demon dziennika systemowego wbudowany w urządzenia i urządzenia z systemem Linux umożliwia zbieranie lokalnych zdarzeń określonych typów i wysyłanie tych zdarzeń do usługi Microsoft Sentinel przy użyciu agenta usługi Log Analytics dla systemu Linux (wcześniej znanego jako agent pakietu OMS).

W tym artykule opisano sposób łączenia źródeł danych z usługą Microsoft Sentinel przy użyciu usługi Syslog. Aby uzyskać więcej informacji na temat obsługiwanych łączników dla tej metody, zobacz Dokumentacja łączników danych.

Dowiedz się, jak zbierać dziennik systemowy za pomocą agenta usługi Azure Monitor, w tym jak skonfigurować dziennik syslog i utworzyć kontroler domeny.

Ważne

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA. Aby uzyskać więcej informacji, zobacz Migracja usługi AMA dla usługi Microsoft Sentinel.

Aby uzyskać informacje na temat wdrażania dzienników dziennika systemowego za pomocą agenta usługi Azure Monitor, zapoznaj się z opcjami dzienników przesyłania strumieniowego w formacie CEF i dziennika systemowego w usłudze Microsoft Sentinel.

Architektura

Po zainstalowaniu agenta usługi Log Analytics na maszynie wirtualnej lub urządzeniu skrypt instalacji konfiguruje lokalnego demona dziennika systemu w celu przekazywania komunikatów do agenta na porcie UDP 25224. Po otrzymaniu komunikatów agent wysyła je do obszaru roboczego usługi Log Analytics za pośrednictwem protokołu HTTPS, gdzie są pozyskiwane do tabeli Dzienniki systemu w dziennikach usługi Microsoft Sentinel>.

Aby uzyskać więcej informacji, zobacz Syslog data sources in Azure Monitor (Źródła danych dziennika systemowego w usłudze Azure Monitor).

Ten diagram przedstawia przepływ danych ze źródeł dziennika systemowego do obszaru roboczego usługi Microsoft Sentinel, w którym agent usługi Log Analytics jest instalowany bezpośrednio na urządzeniu źródła danych.

W przypadku niektórych typów urządzeń, które nie zezwalają na lokalną instalację agenta usługi Log Analytics, agent można zainstalować zamiast tego na dedykowanym usłudze przesyłania dalej dzienników opartego na systemie Linux. Urządzenie źródłowe musi być skonfigurowane do wysyłania zdarzeń dziennika systemowego do demona dziennika systemowego na tym module przesyłania dalej zamiast lokalnego demona. Demon dziennika systemowego w usłudze przesyłania dalej wysyła zdarzenia do agenta usługi Log Analytics za pośrednictwem protokołu UDP. Jeśli ten program przesyłania dalej systemu Linux ma zebrać dużą liczbę zdarzeń dziennika systemowego, demon syslog wysyła zdarzenia do agenta za pośrednictwem protokołu TCP. W obu przypadkach agent wysyła zdarzenia z tego miejsca do obszaru roboczego usługi Log Analytics w usłudze Microsoft Sentinel.

Ten diagram przedstawia przepływ danych ze źródeł dziennika systemowego do obszaru roboczego usługi Microsoft Sentinel, w którym agent usługi Log Analytics jest zainstalowany na oddzielnym urządzeniu przekazującym dzienniki.

Uwaga

  • Jeśli urządzenie obsługuje format Common Event Format (CEF) za pośrednictwem dziennika systemowego, zbierany jest bardziej kompletny zestaw danych, a dane są analizowane w kolekcji. Należy wybrać tę opcję i postępować zgodnie z instrukcjami w artykule Pobieranie dzienników sformatowanych w formacie CEF z urządzenia lub urządzenia do usługi Microsoft Sentinel.

  • Usługa Log Analytics obsługuje zbieranie komunikatów wysyłanych przez demony rsyslog lub syslog-ng, gdzie rsyslog jest ustawieniem domyślnym. Domyślny demon dziennika systemowego w wersji 5 systemu Red Hat Enterprise Linux (RHEL), CentOS i Oracle Linux w wersji (sysklog) nie jest obsługiwany w przypadku zbierania zdarzeń dziennika systemowego. Aby zebrać dane dziennika systemowego z tej wersji tych dystrybucji, demon rsyslog powinien zostać zainstalowany i skonfigurowany do zastąpienia dziennika sysklog.

Istnieją trzy kroki konfigurowania kolekcji dziennika systemowego:

  • Skonfiguruj urządzenie lub urządzenie z systemem Linux. Dotyczy to urządzenia, na którym zostanie zainstalowany agent usługi Log Analytics, niezależnie od tego, czy jest to to samo urządzenie, które pochodzi ze zdarzeń, czy moduł zbierający dzienniki, który będzie przekazywać je dalej.

  • Skonfiguruj ustawienia rejestrowania aplikacji odpowiadające lokalizacji demona dziennika systemowego, które będą wysyłać zdarzenia do agenta.

  • Skonfiguruj samego agenta usługi Log Analytics. Odbywa się to z poziomu usługi Microsoft Sentinel, a konfiguracja jest wysyłana do wszystkich zainstalowanych agentów.

Wymagania wstępne

Przed rozpoczęciem zainstaluj rozwiązanie dla usługi Syslog z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Konfigurowanie maszyny lub urządzenia z systemem Linux

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. W galerii łączników wybierz pozycję Syslog , a następnie wybierz pozycję Otwórz stronę łącznika.

    Jeśli typ urządzenia znajduje się w galerii łączników danych usługi Microsoft Sentinel, wybierz łącznik dla urządzenia zamiast ogólnego łącznika syslog. Jeśli typ urządzenia zawiera dodatkowe lub specjalne instrukcje, zobaczysz je wraz z niestandardową zawartością, na przykład skoroszytami i szablonami reguł analitycznych, na stronie łącznika urządzenia.

  3. Zainstaluj agenta systemu Linux. W obszarze Wybierz miejsce instalacji agenta:

    Typ maszyny Instrukcje
    W przypadku maszyny wirtualnej z systemem Linux platformy Azure 1. Rozwiń węzeł Zainstaluj agenta na maszynie wirtualnej z systemem Linux platformy Azure.

    2. Wybierz link Pobierz i zainstaluj agenta dla maszyn wirtualnych z systemem Linux platformy > Azure.

    3. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połączenie. Powtórz ten krok dla każdej maszyny wirtualnej, którą chcesz nawiązać połączenie.
    Dla każdej innej maszyny z systemem Linux 1. Rozwiń węzeł Instalowanie agenta na maszynie z systemem Linux spoza platformy Azure

    2. Wybierz link Pobierz i zainstaluj agenta dla maszyn z systemem Linux spoza platformy > Azure.

    3. W bloku Zarządzanie agentami wybierz kartę Serwery z systemem Linux, a następnie skopiuj polecenie Pobierz i dołącz agenta dla systemu Linux i uruchom je na maszynie z systemem Linux .

    Jeśli chcesz zachować lokalną kopię pliku instalacyjnego agenta systemu Linux, wybierz link Pobierz agenta systemu Linux powyżej polecenia "Pobierz i dołącz agenta".

    Uwaga

    Upewnij się, że skonfigurowaliśmy ustawienia zabezpieczeń dla tych urządzeń zgodnie z zasadami zabezpieczeń organizacji. Można na przykład skonfigurować ustawienia sieci w celu dostosowania ich do zasad zabezpieczeń sieci organizacji oraz zmienić porty i protokoły w demonie, aby dopasować je do wymagań dotyczących zabezpieczeń.

Używanie tej samej maszyny do przekazywania zarówno zwykłych komunikatów dziennika systemowego , jak i komunikatów CEF

Możesz użyć istniejącej maszyny usługi przesyłania dalej dziennika CEF do zbierania i przekazywania dzienników z zwykłych źródeł dziennika syslog, jak również. Należy jednak wykonać następujące kroki, aby uniknąć wysyłania zdarzeń w obu formatach do usługi Microsoft Sentinel, ponieważ spowoduje to duplikowanie zdarzeń.

Po skonfigurowaniu zbierania danych ze źródeł CEF i skonfigurowaniu agenta usługi Log Analytics:

  1. Na każdej maszynie wysyłającej dzienniki w formacie CEF należy edytować plik konfiguracji dziennika systemowego, aby usunąć obiekty używane do wysyłania komunikatów CEF. W ten sposób obiekty wysyłane w formacie CEF nie będą również wysyłane w dzienniku systemowym. Aby uzyskać szczegółowe instrukcje dotyczące tego, jak to zrobić, zobacz Konfigurowanie dziennika systemowego w agencie systemu Linux.

  2. Na tych maszynach należy uruchomić następujące polecenie, aby wyłączyć synchronizację agenta z konfiguracją dziennika systemowego w usłudze Microsoft Sentinel. Dzięki temu zmiana konfiguracji w poprzednim kroku nie zostanie zastąpiona.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable

Konfigurowanie ustawień rejestrowania urządzenia

Wiele typów urządzeń ma własne łączniki danych wyświetlane w galerii Łączniki danych. Niektóre z tych łączników wymagają specjalnych dodatkowych instrukcji w celu prawidłowego skonfigurowania zbierania dzienników w usłudze Microsoft Sentinel. Te instrukcje mogą obejmować implementację analizatora na podstawie funkcji Kusto.

Wszystkie łączniki wymienione w galerii będą wyświetlać wszelkie konkretne instrukcje na odpowiednich stronach łącznika w portalu, a także w sekcjach strony referencyjnej łączników danych usługi Microsoft Sentinel.

Jeśli instrukcje na stronie łącznika danych w usłudze Microsoft Sentinel wskazują, że funkcje Kusto są wdrażane jako analizatory usługi Advanced Security Information Model (ASIM), upewnij się, że w obszarze roboczym wdrożono analizatory ASIM .

Użyj linku na stronie łącznika danych, aby wdrożyć analizatory, lub postępuj zgodnie z instrukcjami z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Analizatory advanced Security Information Model (ASIM).

Konfigurowanie agenta usługi Log Analytics

  1. W dolnej części bloku Łącznik usługi Syslog wybierz link Otwórz konfigurację > agentów obszaru roboczego.

  2. Na stronie Zarządzanie starszymi agentami dodaj obiekty dla łącznika do zbierania. Wybierz pozycję Dodaj obiekt i wybierz z listy rozwijanej obiektów.

    • Dodaj obiekty, które urządzenie syslog zawiera w nagłówkach dziennika.

    • Jeśli chcesz użyć nietypowego wykrywania logowania za pomocą zbieranych danych, dodaj uwierzytelnianie i uwierzytelnianie. Aby uzyskać dodatkowe informacje, zobacz następującą sekcję .

  3. Po dodaniu wszystkich obiektów, które chcesz monitorować, wyczyść pola wyboru dla wszystkich ważności, które nie chcesz zbierać. Domyślnie wszystkie są oznaczone.

  4. Wybierz Zastosuj.

  5. Na maszynie wirtualnej lub urządzeniu upewnij się, że wysyłasz określone obiekty.

Znajdowanie danych

  1. Aby wysłać zapytanie do danych dziennika systemu w dziennikach, wpisz Syslog w oknie zapytania.

    (Niektóre łączniki korzystające z mechanizmu Syslog mogą przechowywać dane w tabelach innych niż Syslog. Zapoznaj się z sekcją łącznika na stronie referencyjnej łączników danych usługi Microsoft Sentinel).

  2. Parametry zapytania opisane w temacie Używanie funkcji w zapytaniach dziennika usługi Azure Monitor umożliwiają analizowanie komunikatów dziennika systemu. Następnie możesz zapisać zapytanie jako nową funkcję usługi Log Analytics i użyć jej jako nowego typu danych.

Konfigurowanie łącznika syslog na potrzeby nietypowego wykrywania logowania przy użyciu protokołu SSH

Ważne

Nietypowe wykrywanie logowania SSH jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel może stosować uczenie maszynowe (ML) do danych dziennika systemowego w celu zidentyfikowania nietypowego działania logowania protokołu Secure Shell (SSH). Scenariusze obejmują:

  • Niemożliwa podróż — w przypadku wystąpienia dwóch pomyślnych zdarzeń logowania z dwóch lokalizacji, które są niemożliwe do osiągnięcia w przedziale czasowym dwóch zdarzeń logowania.

  • Nieoczekiwana lokalizacja — lokalizacja, w której wystąpiło pomyślne zdarzenie logowania, jest podejrzane. Na przykład lokalizacja nie była ostatnio widoczna.

To wykrywanie wymaga określonej konfiguracji łącznika danych syslog:

  1. W kroku 2 w obszarze Konfigurowanie agenta usługi Log Analytics powyżej upewnij się, że wybrano opcję uwierzytelniania i uwierzytelniania jako obiekty do monitorowania oraz że wybrano wszystkie ważności.

  2. Zezwól na zbieranie informacji dziennika systemowego o wystarczającej ilości czasu. Następnie przejdź do usługi Microsoft Sentinel — Dzienniki i skopiuj i wklej następujące zapytanie:

    Syslog
| where Facility in ("authpriv","auth")
| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
| where isnotempty(c)
| count

    W razie potrzeby zmień zakres czasu i wybierz pozycję Uruchom.

    Jeśli wynikowa liczba wynosi zero, potwierdź konfigurację łącznika i że monitorowane komputery mają pomyślne działanie logowania dla okresu określonego dla zapytania.

    Jeśli wynikowa liczba jest większa niż zero, dane dziennika systemowego są odpowiednie do nietypowego wykrywania logowania za pomocą protokołu SSH. To wykrywanie jest włączane z poziomu szablonów> reguł analizy>(wersja zapoznawcza) Nietypowe wykrywanie logowania SSH.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia urządzeń lokalnych syslog z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: