Partilhar via


[Preterido] Coletar dados em formatos de log personalizados para o Microsoft Sentinel com o agente do Log Analytics

Importante

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.

Este artigo descreve como coletar dados de dispositivos que usam formatos de log personalizados para o Microsoft Sentinel usando o agente do Log Analytics. Para saber como ingerir logs personalizados usando o Azure Monitor Agent (AMA), consulte Coletar logs de arquivos de texto com o Azure Monitor Agent e ingerir no Microsoft Sentinel.

Muitos aplicativos registram dados em arquivos de texto em vez de serviços de log padrão, como o log de eventos do Windows ou o Syslog. Você pode usar o agente do Log Analytics para coletar dados em arquivos de texto de formatos não padrão de computadores Windows e Linux. Uma vez coletados, você pode analisar os dados em campos individuais em suas consultas ou extrair os dados durante a coleta para campos individuais.

Para obter mais informações sobre conectores de dados suportados que coletam formatos de log personalizados, consulte Referência de conectores de dados.

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que conclua a migração para o Azure Monitor Agent (AMA). Para obter mais informações, consulte Migração AMA para o Microsoft Sentinel.

Saiba tudo sobre logs personalizados na documentação do Azure Monitor.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Instalar o agente do Log Analytics

Instale o agente do Log Analytics na máquina Linux ou Windows que gerará os logs.

Alguns fornecedores recomendam instalar o agente do Log Analytics em um servidor de log separado em vez de diretamente no dispositivo. Consulte a seção do seu produto na página de referência de conectores de dados ou a documentação do seu próprio produto.

Selecione a guia apropriada abaixo, dependendo se seu conector faz parte da solução listada no hub de conteúdo do Microsoft Sentinel ou não.

Antes de começar, instale a solução para o produto a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel. Quando o conector de dados para o produto estiver disponível, continue com as etapas a seguir.

  1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

  2. Procure e selecione o conector de dados do produto apropriado.

  3. Selecione Abrir página do conector.

  4. Instale e integre o agente no dispositivo que gera os logs. Escolha Linux ou Windows, conforme apropriado.

    Tipo de máquina Instruções
    Para uma VM Linux do Azure
    1. Em Escolha onde instalar o agente Linux, expanda Instalar agente na máquina virtual Linux do Azure.

    2. Selecione o link Baixar & instalar agente para máquinas > virtuais Linux do Azure.

    3. Na folha Máquinas virtuais, selecione uma máquina virtual na qual instalar o agente e selecione Conectar. Repita esta etapa para cada VM que você deseja conectar.
    Para qualquer outra máquina Linux
    1. Em Escolha onde instalar o agente Linux, expanda Instalar agente em uma máquina Linux que não seja do Azure.

    2. Selecione o link Baixar & instalar agente para máquinas > Linux que não sejam do Azure.

    3. Na folha Gerenciamento de agentes, selecione a guia Servidores Linux e, em seguida, copie o comando Download e agente integrado para Linux e execute-o em sua máquina Linux.

      Se você quiser manter uma cópia local do arquivo de instalação do agente Linux, selecione o link Download Linux Agent acima do comando "Download and onboard agent".
    Para uma VM do Windows do Azure
    1. Em Escolha onde instalar o agente do Windows, expanda Instalar agente na máquina virtual do Windows do Azure.

    2. Selecione o link Baixar & instalar agente para máquinas > virtuais do Windows do Azure.

    3. Na folha Máquinas virtuais, selecione uma máquina virtual na qual instalar o agente e selecione Conectar. Repita esta etapa para cada VM que você deseja conectar.
    Para qualquer outra máquina Windows
    1. Em Escolha onde instalar o agente do Windows, expanda Instalar agente em uma máquina Windows que não seja do Azure

    2. Selecione o link Baixar & instalar agente para máquinas > Windows que não sejam do Azure.

    3. Na folha Gerenciamento de agentes, na guia Servidores Windows, selecione o link Baixar agente do Windows para sistemas de 32 bits ou 64 bits, conforme apropriado.

Configurar os logs a serem coletados

Muitos tipos de dispositivos têm seus próprios conectores de dados que aparecem na página Conectores de dados no Microsoft Sentinel. Alguns desses conectores exigem instruções adicionais especiais para configurar corretamente a coleta de logs no Microsoft Sentinel. Estas instruções podem incluir a implementação de um analisador baseado em uma função Kusto.

Todos os conectores listados no Microsoft Sentinel exibirão instruções específicas em suas respetivas páginas de conectores no portal, bem como em suas seções da página de referência de conectores de dados do Microsoft Sentinel.

Se o seu produto não tiver uma solução com um conector de dados listado no Hub de conteúdo, consulte a documentação do fornecedor para obter instruções sobre como configurar o registro em log para seu dispositivo.

Configurar o agente do Log Analytics

  1. Na página do conector, selecione o link de configuração Abrir os logs personalizados do espaço de trabalho.

    Ou, no menu de navegação do espaço de trabalho do Log Analytics, selecione Logs personalizados.

  2. Na guia Tabelas personalizadas, selecione Adicionar log personalizado.

  3. No separador Exemplo, carregue uma amostra de um ficheiro de registo a partir do seu dispositivo (por exemplo, access.log ou error.log). Em seguida, selecione Seguinte.

  4. Na guia Delimitador de registro, selecione um delimitador de registro, Nova linha ou Carimbo de data/hora (consulte as instruções nessa guia) e selecione Avançar.

  5. Na guia Caminhos de coleção, selecione um tipo de caminho do Windows ou Linux e insira o caminho para os logs do dispositivo com base na sua configuração. Em seguida, selecione Seguinte.

  6. Dê ao seu log personalizado um nome e, opcionalmente, uma descrição e selecione Avançar.
    Não termine seu nome com "_CL", pois ele será anexado automaticamente.

Encontre os seus dados

Para consultar os dados de log personalizados em Logs, digite o nome que você deu ao log personalizado (terminando em "_CL") na janela de consulta.

Próximos passos

Neste documento, você aprendeu como coletar dados de tipos de log personalizados para ingerir no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: