Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics

Muitos aplicativos registram dados em arquivos de texto em vez de serviços padrão de registro em log, como o log de eventos do Windows ou o Syslog. Você pode usar o agente do Log Analytics para coletar dados em arquivos de texto de formatos não padrão de computadores Windows e Linux. Depois de coletados, você pode analisar os dados em campos individuais em suas consultas ou extrair os dados durante a coleta de campos individuais.

Este artigo descreve como conectar suas fontes de dados ao Microsoft Sentinel usando formatos de log personalizados. Para obter mais informações sobre conectores de dados com suporte que usam esse método, consulte Referência de conectores de dados.

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA. Para obter mais informações, consulte Migração para o AMA para Microsoft Sentinel.

Saiba tudo sobre logs personalizados na documentação do Azure Monitor.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Instalar o agente do Log Analytics

Instale o agente do Log Analytics na máquina Linux ou Windows que vai gerar os logs.

Alguns fornecedores recomendam instalar o agente do Log Analytics em um servidor de log separado em vez de diretamente no dispositivo. Consulte a seção do seu produto na página de Referência de conectores de dados ou na própria documentação do produto.

Selecione a guia apropriada abaixo, levando em conta se o conector faz parte da solução listada no hub de conteúdo do Microsoft Sentinel ou não.

De uma página específica do conector de dados

Antes de começar, instale a solução para o produto do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel. Depois que o conector de dados para o produto estiver disponível, continue com as etapas a seguir.

1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

2. Pesquise e selecione o conector de dados apropriado para o produto.

3. Clique em Abrir página do conector.

4. Instale e integre o agente no dispositivo que gera os logs. Escolha Linux ou Windows, conforme apropriado.

   Tipo de computador	Instruções
   Para uma VM do Linux do Azure	Em Escolher onde instalar o agente do Linux, expanda Instalar o agente em uma máquina virtual do Linux do Azure. Selecione o link Baixar e instalar o agente para máquinas > virtuais Linux do Azure. Na folha Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, escolha Conectar. Repita essa etapa para cada VM que você deseja conectar.
   Para qualquer outro computador Linux	Em Escolher onde instalar o agente do Linux, expanda Instalar o agente em uma máquina do Linux não Azure. Selecione o link Baixar e instalar agente para computadores > Linux que não sejam do Azure. Na folha Gerenciamento de agentes, clique na guia Servidores Linux e, em seguida, copie o comando para Baixar e carregar o agente para Linux e execute-o no computador Linux. Se você quiser manter uma cópia local do arquivo de instalação do agente do Linux, selecione o link Baixar Agente do Linux acima do comando "Baixar e integrar agente".
   Para uma VM do Windows Azure	Em Escolher onde instalar o agente, expanda Instalar o agente em uma máquina virtual do Windows Azure. Selecione o link Baixar e instalar o agente para máquinas > virtuais do Windows do Azure. Na folha Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, escolha Conectar. Repita essa etapa para cada VM que você deseja conectar.
   Em outros computadores Windows	Em Escolher onde instalar o agente, expanda Instalar o agente em uma máquina do Windows não Azure Selecione o link Baixar e instalar o agente para computadores > Windows que não sejam do Azure. Na folha Gerenciamento de agentes, na guia Servidores do Windows, selecione o link Baixar agente do Windows para sistemas de 32 bits ou de 64 bits, conforme for o caso.

Outras fontes de dados

1. No menu de navegação do Microsoft Sentinel, selecione Configurações e, em seguida, selecione a guia Configurações do espaço de trabalho.

2. Instale e integre o agente no dispositivo que gera os logs. Escolha Linux ou Windows, conforme apropriado.

   Tipo de computador	Instruções
   VM do Azure (Windows ou Linux)	No menu de navegação do workspace do Log Analytics, selecione Máquinas virtuais. Na folha Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, escolha Conectar. Repita essa etapa para cada VM que você deseja conectar.
   Qualquer outro computador Windows ou Linux	No menu de navegação do workspace do Log Analytics, selecione Gerenciamento de agentes. Selecione a guia Servidores Windows ou Servidores Linux conforme o caso. Para Windows, selecione o link Baixar agente do Windows para sistemas de 32 bits ou de 64 bits, conforme for o caso. Para Linux, copie o comando para Baixar e integrar o agente para o Linux e execute-o na linha de comando, ou selecione o link Baixar agente do Linux para baixar uma cópia local do arquivo de instalação.

Configurar os logs a serem coletados

Muitos tipos de dispositivos têm seus próprios conectores de dados que aparecem na página Conectores de dados no Microsoft Sentinel. Alguns desses conectores exigem outras instruções especiais para configurar corretamente a coleta de logs no Microsoft Sentinel. Essas instruções podem incluir a implementação de um analisador com base em uma função Kusto.

Todos os conectores listados no Microsoft Sentinel exibirão instruções específicas em suas respectivas páginas de conector no portal, bem como em suas seções da página de Referência de conectores de dados do Microsoft Sentinel.

Se seu produto não tiver uma solução com um conector de dados listado no Hub de Conteúdo, consulte a documentação do fornecedor para obter instruções sobre como configurar o registro em log para seu dispositivo.

Configurar o agente do Log Analytics

1. Na página do conector, selecione o link Abrir as configurações de log personalizadas do espaço de trabalho.

   Ou selecione Máquinas virtuais no menu de navegação do workspace do Log Analytics.

2. Na guia Tabelas personalizadas, selecione Adicionar log personalizado.

3. Na guia Exemplo, carregue um exemplo de um arquivo de log do seu dispositivo (por exemplo, access.log ou error.log). Em seguida, selecione Avançar.

4. Na guia Delimitador de registro, selecione um delimitador de registro, que pode ser uma Nova linha ou um Carimbo de data/hora (consulte as instruções nessa guia) e selecione Próximo.

5. Na guia Caminhos de coleção, selecione um tipo de caminho Windows ou Linux e insira o caminho para os logs do dispositivo com base em sua configuração. Em seguida, selecione Avançar.

6. Dê um nome ao log personalizado e, opcionalmente, uma descrição, e selecione Próximo.
   Não digite "_CL" ao final do nome, pois isso será acrescentado automaticamente.

Localizar seus dados

Para consultar os dados de log personalizados em Logs, digite o nome que você deu ao log personalizado (terminando em "_CL") na janela de consulta.

Próximas etapas

Neste documento, você aprendeu a coletar dados de tipos de log personalizados para ingerir no Microsoft Sentinel. Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir:

• Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
• Comece a detectar ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.