Zbieranie danych ze źródeł opartych na systemie Linux przy użyciu usługi Syslog

Uwaga

Aby uzyskać informacje na temat dostępności funkcji w chmurach instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Syslog to protokół rejestrowania zdarzeń, który jest typowy dla systemu Linux. Demon dziennika systemowego wbudowany w urządzenia i urządzenia z systemem Linux umożliwia zbieranie lokalnych zdarzeń określonych typów i wysyłanie tych zdarzeń do usługi Microsoft Sentinel przy użyciu agenta usługi Log Analytics dla systemu Linux (wcześniej znanego jako agent pakietu OMS).

W tym artykule opisano sposób łączenia źródeł danych z usługą Microsoft Sentinel przy użyciu usługi Syslog. Aby uzyskać więcej informacji na temat obsługiwanych łączników dla tej metody, zobacz Dokumentacja łączników danych.

Ważne

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA. Aby uzyskać więcej informacji, zobacz Migracja usługi AMA dla usługi Microsoft Sentinel.

Architektura

Po zainstalowaniu agenta usługi Log Analytics na maszynie wirtualnej lub urządzeniu skrypt instalacji konfiguruje lokalnego demona dziennika systemu w celu przekazywania komunikatów do agenta na porcie UDP 25224. Po otrzymaniu komunikatów agent wysyła je do obszaru roboczego usługi Log Analytics za pośrednictwem protokołu HTTPS, gdzie są pozyskiwane do tabeli Syslog w dziennikach usługi Microsoft Sentinel>.

Aby uzyskać więcej informacji, zobacz Syslog data sources in Azure Monitor (Źródła danych dziennika systemu w usłudze Azure Monitor).

Ten diagram przedstawia przepływ danych ze źródeł dziennika systemowego do obszaru roboczego usługi Microsoft Sentinel, w którym agent usługi Log Analytics jest instalowany bezpośrednio na urządzeniu źródła danych.

W przypadku niektórych typów urządzeń, które nie zezwalają na lokalną instalację agenta usługi Log Analytics, agent można zainstalować zamiast tego na dedykowanym usłudze przesyłania dalej dzienników opartego na systemie Linux. Urządzenie źródłowe musi być skonfigurowane do wysyłania zdarzeń dziennika systemowego do demona dziennika syslog na tym przesyłania dalej zamiast demona lokalnego. Demon dziennika systemowego w usłudze przesyłania dalej wysyła zdarzenia do agenta usługi Log Analytics za pośrednictwem protokołu UDP. Jeśli ten usługa przesyłania dalej systemu Linux ma zbierać dużą liczbę zdarzeń dziennika systemowego, demon dziennika syslog wysyła zdarzenia do agenta za pośrednictwem protokołu TCP. W obu przypadkach agent wysyła zdarzenia stamtąd do obszaru roboczego usługi Log Analytics w usłudze Microsoft Sentinel.

Ten diagram przedstawia przepływ danych ze źródeł dziennika systemowego do obszaru roboczego usługi Microsoft Sentinel, w którym agent usługi Log Analytics jest zainstalowany na oddzielnym urządzeniu przekazującym dzienniki.

Uwaga

  • Jeśli urządzenie obsługuje format Common Event Format (CEF) za pośrednictwem dziennika systemowego, zbierany jest bardziej kompletny zestaw danych, a dane są analizowane w kolekcji. Należy wybrać tę opcję i postępować zgodnie z instrukcjami w temacie Pobieranie dzienników sformatowanych w formacie CEF z urządzenia lub urządzenia do usługi Microsoft Sentinel.

  • Usługa Log Analytics obsługuje zbieranie komunikatów wysyłanych przez demony rsyslog lub syslog-ng , gdzie rsyslog jest wartością domyślną. Domyślny demon dziennika systemowego w wersji 5 systemu Red Hat Enterprise Linux (RHEL), CentOS i Oracle Linux w wersji (sysklog) nie jest obsługiwany w przypadku zbierania zdarzeń dziennika systemowego. Aby zebrać dane dziennika systemowego z tej wersji tych dystrybucji, demon rsyslog powinien zostać zainstalowany i skonfigurowany do zastąpienia dziennika sysklog.

Istnieją trzy kroki konfigurowania kolekcji syslog:

  • Skonfiguruj urządzenie lub urządzenie z systemem Linux. Odnosi się to do urządzenia, na którym zostanie zainstalowany agent usługi Log Analytics, niezależnie od tego, czy jest to to samo urządzenie, które pochodzi ze zdarzeń, czy moduł zbierający dzienniki, który będzie przekazywać je dalej.

  • Skonfiguruj ustawienia rejestrowania aplikacji odpowiadające lokalizacji demona dziennika systemowego, które będą wysyłać zdarzenia do agenta.

  • Skonfiguruj samego agenta usługi Log Analytics. Odbywa się to z poziomu usługi Microsoft Sentinel, a konfiguracja jest wysyłana do wszystkich zainstalowanych agentów.

Konfigurowanie maszyny lub urządzenia z systemem Linux

  1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. W galerii łączników wybierz pozycję Syslog , a następnie wybierz pozycję Otwórz stronę łącznika.

    Jeśli typ urządzenia znajduje się w galerii łączników danych usługi Microsoft Sentinel, wybierz łącznik dla urządzenia zamiast ogólnego łącznika syslog. Jeśli istnieją dodatkowe lub specjalne instrukcje dotyczące typu urządzenia, zobaczysz je wraz z niestandardową zawartością, takimi jak skoroszyty i szablony reguł analizy, na stronie łącznika urządzenia.

  3. Zainstaluj agenta systemu Linux. W obszarze Wybierz miejsce instalacji agenta:

    Typ maszyny Instrukcje
    Dla maszyny wirtualnej z systemem Linux platformy Azure 1. Rozwiń węzeł Zainstaluj agenta na maszynie wirtualnej z systemem Linux platformy Azure.

    2. Wybierz link Pobierz & agenta instalacji dla maszyn wirtualnych z systemem Linux platformy >Azure.

    3. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połącz. Powtórz ten krok dla każdej maszyny wirtualnej, z którą chcesz nawiązać połączenie.
    Dla każdej innej maszyny z systemem Linux 1. Rozwiń węzeł Zainstaluj agenta na maszynie z systemem Linux spoza platformy Azure

    2. Wybierz link Pobierz & agenta instalacji dla maszyn z systemem Linux spoza platformy >Azure.

    3. W bloku Zarządzanie agentami wybierz kartę Serwery z systemem Linux , a następnie skopiuj polecenie Pobierz i dołącz agenta dla systemu Linux i uruchom je na maszynie z systemem Linux.

    Jeśli chcesz zachować lokalną kopię pliku instalacyjnego agenta systemu Linux, wybierz link Pobierz agenta systemu Linux powyżej polecenia "Pobierz i dołącz agenta".

    Uwaga

    Upewnij się, że skonfigurowaliśmy ustawienia zabezpieczeń dla tych urządzeń zgodnie z zasadami zabezpieczeń organizacji. Można na przykład skonfigurować ustawienia sieci, aby były zgodne z zasadami zabezpieczeń sieci w organizacji, a także zmienić porty i protokoły w demonie, aby były zgodne z wymaganiami dotyczącymi zabezpieczeń.

Używanie tej samej maszyny do przekazywania zarówno zwykłych komunikatów dziennika systemowego , jak i komunikatów CEF

Możesz użyć istniejącej maszyny usługi przesyłania dalej dziennika CEF do zbierania i przekazywania dzienników z zwykłych źródeł dziennika systemowego. Należy jednak wykonać następujące kroki, aby uniknąć wysyłania zdarzeń w obu formatach do usługi Microsoft Sentinel, ponieważ spowoduje to duplikowanie zdarzeń.

Po skonfigurowaniu zbierania danych ze źródeł CEF i skonfigurowaniu agenta usługi Log Analytics:

  1. Na każdej maszynie, która wysyła dzienniki w formacie CEF, należy edytować plik konfiguracji dziennika systemowego, aby usunąć obiekty używane do wysyłania komunikatów CEF. Dzięki temu obiekty wysyłane w formacie CEF nie będą również wysyłane w dzienniku systemowym. Aby uzyskać szczegółowe instrukcje dotyczące tego, jak to zrobić, zobacz Konfigurowanie dziennika systemowego w agencie systemu Linux .

  2. Należy uruchomić następujące polecenie na tych maszynach, aby wyłączyć synchronizację agenta z konfiguracją dziennika systemowego w usłudze Microsoft Sentinel. Gwarantuje to, że zmiana konfiguracji wprowadzona w poprzednim kroku nie zostanie zastąpiona.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable
    

Konfigurowanie ustawień rejestrowania urządzenia

Wiele typów urządzeń ma własne łączniki danych wyświetlane w galerii Łączniki danych . Niektóre z tych łączników wymagają specjalnych dodatkowych instrukcji dotyczących prawidłowego konfigurowania zbierania dzienników w usłudze Microsoft Sentinel. Te instrukcje mogą obejmować implementację analizatora na podstawie funkcji Kusto.

Wszystkie łączniki wymienione w galerii będą wyświetlać wszystkie konkretne instrukcje na odpowiednich stronach łączników w portalu, a także w sekcjach strony referencyjnej łączników danych usługi Microsoft Sentinel .

Jeśli instrukcje na stronie łącznika danych w usłudze Microsoft Sentinel wskazują, że funkcje Kusto są wdrażane jako analizatory advanced Security Information Model (ASIM), upewnij się, że w obszarze roboczym wdrożono analizatory ASIM.

Użyj linku na stronie łącznika danych, aby wdrożyć analizatory, lub postępuj zgodnie z instrukcjami z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Advanced Security Information Model (ASIM) analizatory.

Konfigurowanie agenta usługi Log Analytics

  1. W dolnej części bloku Łącznik dziennika systemu wybierz link Otwórz konfigurację >agentów obszaru roboczego.

  2. W bloku Konfiguracja agentów wybierz kartę Dziennik systemu . Następnie dodaj obiekty łącznika do zbierania. Wybierz pozycję Dodaj obiekt i wybierz z listy rozwijanej obiektów.

    • Dodaj obiekty, które urządzenie dziennika systemowego zawiera w nagłówkach dziennika.

    • Jeśli chcesz użyć nietypowego wykrywania logowania SSH z zebranymi danymi, dodaj uwierzytelnianie i authpriv. Aby uzyskać dodatkowe informacje, zobacz następującą sekcję .

  3. Po dodaniu wszystkich obiektów, które chcesz monitorować, wyczyść pola wyboru dla wszelkich ważności, które nie chcesz zbierać. Domyślnie wszystkie są oznaczone.

  4. Wybierz przycisk Zastosuj.

  5. Na maszynie wirtualnej lub urządzeniu upewnij się, że wysyłasz określone obiekty.

Znajdowanie danych

  1. Aby wysłać zapytanie do danych dziennika syslog w dziennikach, wpisz Syslog w oknie zapytania.

    (Niektóre łączniki korzystające z mechanizmu Syslog mogą przechowywać swoje dane w tabelach innych niż Syslog. Zapoznaj się z sekcją łącznika na stronie referencyjnej łączników danych usługi Microsoft Sentinel ).

  2. Parametry zapytania opisane w temacie Używanie funkcji w zapytaniach dziennika usługi Azure Monitor umożliwiają analizowanie komunikatów dziennika systemu. Następnie możesz zapisać zapytanie jako nową funkcję usługi Log Analytics i użyć jej jako nowego typu danych.

Konfigurowanie łącznika syslog na potrzeby nietypowego wykrywania logowania SSH

Ważne

Nietypowe wykrywanie logowania SSH jest obecnie w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla platformy Microsoft Azure w wersji zapoznawczej , aby uzyskać dodatkowe warunki prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w ogólnej dostępności.

Usługa Microsoft Sentinel może stosować uczenie maszynowe (ML) do danych dziennika systemowego w celu zidentyfikowania nietypowego działania logowania protokołu Secure Shell (SSH). Scenariusze obejmują:

  • Niemożliwa podróż — w przypadku wystąpienia dwóch pomyślnych zdarzeń logowania z dwóch lokalizacji, które są niemożliwe do osiągnięcia w przedziale czasu dwóch zdarzeń logowania.

  • Nieoczekiwana lokalizacja — lokalizacja, z której wystąpiło pomyślne zdarzenie logowania, jest podejrzane. Na przykład lokalizacja nie została ostatnio widziana.

To wykrywanie wymaga określonej konfiguracji łącznika danych dziennika systemowego:

  1. W kroku 2 w sekcji Konfigurowanie agenta usługi Log Analytics powyżej upewnij się, że wybrano opcję uwierzytelniania i authpriv jako obiekty do monitorowania oraz że wybrano wszystkie ważności.

  2. Poczekaj na zebranie informacji dziennika systemowego. Następnie przejdź do usługi Microsoft Sentinel — dzienniki i skopiuj i wklej następujące zapytanie:

    Syslog
    | where Facility in ("authpriv","auth")
    | extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
    | where isnotempty(c)
    | count 
    

    W razie potrzeby zmień zakres czasu i wybierz pozycję Uruchom.

    Jeśli wynikowa liczba wynosi zero, potwierdź konfigurację łącznika i upewnij się, że monitorowane komputery mają pomyślne działanie logowania dla okresu określonego dla zapytania.

    Jeśli wynikowa liczba jest większa niż zero, dane dziennika systemowego są odpowiednie do nietypowego wykrywania logowania za pomocą protokołu SSH. To wykrywanie jest włączane zpoziomu szablonów> reguł analizy>(wersja zapoznawcza) Nietypowe wykrywanie logowania za pomocą protokołu SSH.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia urządzeń lokalnych usługi Syslog z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: