Введение
Данные журнала системного журнала отправляются в рабочую область Microsoft Sentinel с помощью правила сбора данных агента Azure Monitor (DCR).
Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Вам необходимо собирать данные журналов от локальных сетевых устройств. Данные сети (модуль) предоставляются в неструктурированном формате.
Вы устанавливаете локальный узел Linux, который используется в качестве сервера пересылки для отправки данных журналов. Затем следуйте инструкциям по установке агента Подключение компьютера Azure, который позволяет управлять компьютерами (Windows и Linux), размещенными за пределами Azure в корпоративной сети с помощью Azure Arc. После проверки подключения к Azure Arc можно установить расширение агента Linux Azure Monitor и во время этого процесса создать правило сбора данных системного журнала Azure Monitor. На последнем этапе выполняется настройка сетевых устройств для переадресации журналов на узел Linux.
Теперь сетевые (модуль) отправляют журналы на новый узел Linux, а затем узел Linux перенаправит журналы в рабочую область Microsoft Sentinel через правило сбора данных агента Azure Monitor. В Microsoft Sentinel вы создадите средство синтаксического анализа с помощью функции KQL, чтобы упростить запросы к записям журнала, содержащим неструктурированные строковые данные.
По завершении этого модуля вы сможете:
- Описание правила сбора данных агента Azure Monitor (DCR) для системного журнала
- Установка и настройка расширения агента Linux Azure Monitor с помощью DCR системного журнала
- Запуск сценариев развертывания и подключения к Azure Arc Linux
- Проверка доступности данных журнала системного журнала в Microsoft Sentinel
- Создание средства синтаксического анализа с помощью KQL в Microsoft Sentinel
Необходимые компоненты
- Базовые знания о таких концепциях функционирования, как мониторинг, ведение журнала и оповещения
- Знакомство с операциями и мониторингом Linux