Introduktion
Du skickar Syslog-loggdata till Microsoft Sentinel-arbetsytan med hjälp av en Azure Monitor Agent Data Collection Rule (DCR).
Du är säkerhetsanalytiker och arbetar på ett företag som implementerade Microsoft Sentinel. Du måste samla in loggdata från lokala nätverksinstallationer. Nätverksinstallationernas data tillhandahålls i ett ostrukturerat format.
Du installerar en lokal Linux-värd som används som vidarebefordrare för att skicka loggdata. Därefter följer du anvisningarna för att installera Azure Anslut ed Machine-agenten som gör att du kan hantera dina (Windows och) Linux-datorer som finns utanför Azure i företagets nätverk med Azure Arc. När du har verifierat Azure Arc-anslutningen kan du installera Azure Monitor Linux-agenttillägget och under den processen skapar du en Azure Monitor Syslog-datainsamlingsregel. Det sista steget är att konfigurera nätverksinstallationerna så att loggarna vidarebefordras till Linux-värden.
Nätverksinstallationerna skickar nu loggar till den nya Linux-värden och Linux-värden vidarebefordrar sedan loggarna till Microsoft Sentinel-arbetsytan via azure monitor-agentens datainsamlingsregel. I Microsoft Sentinel skapar du en parser med hjälp av en KQL-funktion för att göra det enklare för Security Operations-teamet att köra frågor mot loggposterna som innehåller ostrukturerade strängdata.
När du har slutfört den här modulen kommer du att kunna:
- Beskriva Azure Monitor Agent Data Collection Rule (DCR) för Syslog
- Installera och konfigurera Azure Monitor Linux-agenttillägget med Syslog DCR
- Kör Distributions- och anslutningsskript för Azure Arc Linux
- Kontrollera att Syslog-loggdata är tillgängliga i Microsoft Sentinel
- Skapa en parser med KQL i Microsoft Sentinel
Förutsättningar
- Grundläggande kunskap om begrepp relaterade till operativa åtgärder, till exempel övervakning, loggning och avisering
- Kunskaper om Linux-åtgärder och -övervakning