Samla in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten

Många program loggar data till textfiler i stället för standardloggningstjänster som Windows-händelselogg eller Syslog. Du kan använda Log Analytics-agenten för att samla in data i textfiler med icke-standardformat från både Windows- och Linux-datorer. När du har samlats in kan du antingen parsa data i enskilda fält i dina frågor eller extrahera data under insamlingen till enskilda fält.

Den här artikeln beskriver hur du ansluter dina datakällor till Microsoft Sentinel med hjälp av anpassade loggformat. Mer information om dataanslutningsprogram som stöds som använder den här metoden finns i Referens för dataanslutningar.

Viktigt!

Log Analytics-agenten dras tillbaka den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du börjar planera migreringen till AMA. Mer information finns i AMA-migrering för Microsoft Sentinel.

Lär dig allt om anpassade loggar i Azure Monitor-dokumentationen.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Installera Log Analytics-agenten

Installera Log Analytics-agenten på Den Linux- eller Windows-dator som ska generera loggarna.

Vissa leverantörer rekommenderar att du installerar Log Analytics-agenten på en separat loggserver i stället för direkt på enheten. Läs produktavsnittet på referenssidan för dataanslutningar eller din produkts egen dokumentation.

Välj lämplig flik nedan, beroende på om din anslutningsapp är en del av lösningen som anges i innehållshubben i Microsoft Sentinel eller inte.

Från en specifik dataanslutningssida

Innan du börjar installerar du lösningen för produkten från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box. När dataanslutningen för produkten är tillgänglig fortsätter du med följande steg.

1. På Microsoft Sentinel-navigeringsmenyn väljer du Dataanslutningsprogram.

2. Sök efter och välj lämplig produktdataanslutning.

3. Välj Sidan Öppna anslutningsapp.

4. Installera och registrera agenten på den enhet som genererar loggarna. Välj Linux eller Windows efter behov.

   Datortyp	Instruktioner
   För en virtuell Azure Linux-dator	Under Välj var Du vill installera Linux-agenten expanderar du Installera agent på en virtuell Azure Linux-dator. Välj länken Ladda ned och installera agenten för virtuella Azure Linux-datorer>. På bladet Virtuella datorer väljer du en virtuell dator som agenten ska installeras på och väljer sedan Anslut. Upprepa det här steget för varje virtuell dator som du vill ansluta till.
   För andra Linux-datorer	Under Välj var Du vill installera Linux-agenten expanderar du Installera agent på en Linux-dator som inte är Azure. Välj länken Ladda ned och installera agenten för linux-datorer som > inte är Azure. På bladet Agenthantering väljer du fliken Linux-servrar och kopierar sedan kommandot för Ladda ned och registrera agenten för Linux och kör den på linux-datorn. Om du vill behålla en lokal kopia av installationsfilen för Linux-agenten väljer du länken Ladda ned Linux-agent ovanför kommandot "Ladda ned och registrera agent".
   För en virtuell Azure Windows-dator	Under Välj var Du vill installera Windows-agenten expanderar du Installera agent på en virtuell Azure Windows-dator. Välj länken Ladda ned och installera agenten för virtuella Azure Windows-datorer>. På bladet Virtuella datorer väljer du en virtuell dator som agenten ska installeras på och väljer sedan Anslut. Upprepa det här steget för varje virtuell dator som du vill ansluta till.
   För alla andra Windows-datorer	Under Välj var Windows-agenten ska installeras expanderar du Installera agent på en Windows-dator som inte är azure Välj länken Ladda ned och installera agenten för Windows-datorer som > inte är Azure. På bladet Agenthantering går du till fliken Windows-servrar och väljer länken Ladda ned Windows Agent för antingen 32-bitars- eller 64-bitarssystem efter behov.

Andra datakällor

1. På navigeringsmenyn i Microsoft Sentinel väljer du Inställningar och sedan fliken Inställningar för arbetsyta.

2. Installera och registrera agenten på den enhet som genererar loggarna. Välj Linux eller Windows efter behov.

   Datortyp	Instruktioner
   Virtuell Azure-dator (Windows eller Linux)	I navigeringsmenyn för Log Analytics-arbetsytan väljer du Virtuella datorer. På bladet Virtuella datorer väljer du en virtuell dator som agenten ska installeras på och väljer sedan Anslut. Upprepa det här steget för varje virtuell dator som du vill ansluta till.
   Alla andra Windows- eller Linux-datorer	I navigeringsmenyn för Log Analytics-arbetsytan väljer du Agenthantering. Välj fliken Windows-servrar eller Linux-servrar efter behov. För Windows väljer du länken Ladda ned Windows Agent för antingen 32-bitars- eller 64-bitarssystem, efter behov. För Linux kopierar du kommandot för Download and onboard agent for Linux (Ladda ned och registrera agenten för Linux ) och kör det från kommandoraden , eller väljer länken Ladda ned Linux-agent för att ladda ned en lokal kopia av installationsfilen.

Konfigurera loggarna som ska samlas in

Många enhetstyper har egna dataanslutningar som visas på sidan Dataanslutningar i Microsoft Sentinel. Vissa av dessa anslutningsappar kräver särskilda ytterligare instruktioner för att konfigurera loggsamlingen korrekt i Microsoft Sentinel. De här instruktionerna kan omfatta implementeringen av en parser baserat på en Kusto-funktion.

Alla anslutningsappar som anges i Microsoft Sentinel visar alla specifika instruktioner på respektive anslutningssida i portalen, samt i deras avsnitt på referenssidan för Microsoft Sentinel-dataanslutningar.

Om produkten inte har någon lösning med en dataanslutning som anges i innehållshubben kan du läsa leverantörens dokumentation om hur du konfigurerar loggning för din enhet.

Konfigurera Log Analytics-agenten

1. På sidan anslutningsapp väljer du konfigurationslänken Öppna anpassade arbetsytor för arbetsytan.

   I navigeringsmenyn för Log Analytics-arbetsytan väljer du Anpassade loggar.

2. På fliken Anpassade tabeller väljer du Lägg till anpassad logg.

3. På fliken Exempel laddar du upp ett exempel på en loggfil från enheten (t.ex. access.log eller error.log). Välj sedan Nästa.

4. På fliken Postavgränsare väljer du en postavgränsare, antingen Ny rad eller Tidsstämpel (se anvisningarna på fliken) och väljer Nästa.

5. På fliken Samlingssökvägar väljer du en sökvägstyp för Windows eller Linux och anger sökvägen till enhetens loggar baserat på din konfiguration. Välj sedan Nästa.

6. Ge din anpassade logg ett namn och eventuellt en beskrivning och välj Nästa.
   Avsluta inte ditt namn med "_CL", eftersom det läggs till automatiskt.

Hitta dina data

Om du vill fråga efter anpassade loggdata i Loggar skriver du det namn som du gav din anpassade logg (slutar med "_CL") i frågefönstret.

Nästa steg

I det här dokumentet har du lärt dig hur du samlar in data från anpassade loggtyper som ska matas in i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.