Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerinde veri toplama

  • Makale

Birçok uygulama, Windows Olay günlüğü veya Syslog gibi standart günlük hizmetleri yerine metin dosyalarına veri kaydeder. Log Analytics aracısını kullanarak hem Windows hem de Linux bilgisayarlardan standart olmayan biçimlerdeki metin dosyalarında veri toplayabilirsiniz. Toplandıktan sonra, verileri sorgularınızdaki tek tek alanlara ayrıştırabilir veya toplama sırasında verileri tek tek alanlara ayıklayabilirsiniz.

Bu makalede, özel günlük biçimlerini kullanarak veri kaynaklarınızı Microsoft Sentinel'e nasıl bağlayacağınız açıklanmaktadır. Bu yöntemi kullanan desteklenen veri bağlayıcıları hakkında daha fazla bilgi için bkz . Veri bağlayıcıları başvurusu.

Önemli

Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel için AMA geçişi.

Azure İzleyici belgelerinde özel günlükler hakkında her şeyi öğrenin.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Log Analytics aracısını yükleme

Günlükleri oluşturacak Linux veya Windows makinesine Log Analytics aracısını yükleyin.

Bazı satıcılar Log Analytics aracısını doğrudan cihaza yüklemek yerine ayrı bir günlük sunucusuna yüklemenizi önerir. Veri bağlayıcıları başvuru sayfasındaki ürününüzün bölümüne veya ürününüzün kendi belgelerine bakın.

Bağlayıcınızın Microsoft Sentinel'in içerik hub'ında listelenen çözümün parçası olup olmadığına bağlı olarak aşağıdaki uygun sekmeyi seçin.

Başlamadan önce, Microsoft Sentinel'de İçerik Merkezi'nden ürünün çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme. Ürünün veri bağlayıcısı kullanıma sunulduktan sonra aşağıdaki adımlarla devam edin.

  1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin.

  2. Uygun ürün veri bağlayıcısını arayın ve seçin.

  3. Bağlayıcı sayfasını aç'ı seçin.

  4. Günlükleri oluşturan cihaza aracıyı yükleyin ve ekleyin. Linux veya Windows'u uygun şekilde seçin.

    Makine türü Yönergeler
    Azure Linux VM için
    1. Linux aracısının yükleneceği yeri seçin altında Azure Linux sanal makinesine aracı yükle'yi genişletin.

    2. Azure Linux Sanal makineleri > için aracıyı indir ve yükle bağlantısını seçin.

    3. Sanal makineler dikey penceresinde aracıyı yüklemek için bir sanal makine seçin ve ardından Bağlan'ı seçin. Bağlanmak istediğiniz her VM için bu adımı yineleyin.
    Diğer tüm Linux makineleri için
    1. Linux aracısının yükleneceği yeri seçin altında Azure Linux Makinesi olmayan bir makineye aracı yükle'yi genişletin.

    2. Azure linux olmayan makineler > için aracıyı indir ve yükle bağlantısını seçin.

    3. Aracılar yönetimi dikey penceresinde Linux sunucuları sekmesini seçin, ardından Linux için aracı indirme ve ekleme komutunu kopyalayın ve Linux makinenizde çalıştırın.

      Linux aracısı yükleme dosyasının yerel bir kopyasını tutmak istiyorsanız, "Aracıyı indir ve ekle" komutunun üzerindeki Linux Aracısını İndir bağlantısını seçin.
    Azure Windows VM için
    1. Windows aracısının yükleneceği yeri seçin altında Azure Windows sanal makinesine aracı yükle'yi genişletin.

    2. Azure Windows Sanal makineleri > için aracıyı indir ve yükle bağlantısını seçin.

    3. Sanal makineler dikey penceresinde aracıyı yüklemek için bir sanal makine seçin ve ardından Bağlan'ı seçin. Bağlanmak istediğiniz her VM için bu adımı yineleyin.
    Diğer tüm Windows makineleri için
    1. Windows aracısının yükleneceği yeri seçin altında Azure olmayan bir Windows Makinesine aracı yükle'yi genişletin

    2. Azure olmayan Windows makineleri > için aracıyı indir ve yükle bağlantısını seçin.

    3. Aracılar yönetimi dikey penceresinde, Windows sunucuları sekmesinde, 32 bit veya 64 bit sistemler için uygun olan Windows Aracısını İndir bağlantısını seçin.

Toplanacak günlükleri yapılandırma

Birçok cihaz türünün, Microsoft Sentinel'deki Veri bağlayıcıları sayfasında görünen kendi veri bağlayıcıları vardır. Bu bağlayıcılardan bazıları, Microsoft Sentinel'de günlük toplamayı düzgün ayarlamak için özel ek yönergeler gerektirir. Bu yönergeler kusto işlevini temel alan bir ayrıştırıcının uygulanmasını içerebilir.

Microsoft Sentinel'de listelenen tüm bağlayıcılar, portalda ilgili bağlayıcı sayfalarında ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasının bölümlerinde belirli yönergeleri görüntüler.

Ürününüz İçerik Merkezi'nde listelenen bir veri bağlayıcısı içeren bir çözüme sahip değilse, cihazınız için günlüğe kaydetmeyi yapılandırma yönergeleri için satıcınızın belgelerine bakın.

Log Analytics aracısını yapılandırma

  1. Bağlayıcı sayfasında Çalışma alanınızı açın özel günlükler yapılandırma bağlantısını seçin.

    İsterseniz Log Analytics çalışma alanı gezinti menüsünde Özel günlükler'i de seçebilirsiniz.

  2. Özel tablolar sekmesinde Özel günlük ekle'yi seçin.

  3. Örnek sekmesinde, cihazınızdan bir günlük dosyasının örneğini karşıya yükleyin (örneğin, access.log veya error.log). Ardından İleri'yi seçin.

  4. Kayıt sınırlayıcısı sekmesinde, Yeni satır veya Zaman Damgası (bu sekmedeki yönergelere bakın) bir kayıt sınırlayıcısı seçin ve İleri'yi seçin.

  5. Koleksiyon yolları sekmesinde bir Windows veya Linux yol türü seçin ve yapılandırmanıza göre cihazınızın günlüklerinin yolunu girin. Ardından İleri'yi seçin.

  6. Özel günlüğünüze bir ad ve isteğe bağlı olarak bir açıklama verin ve İleri'yi seçin.
    Otomatik olarak eklendiği için adınızı "_CL" ile sonlandırmayın.

Verilerinizi bulma

Günlükler'de özel günlük verilerini sorgulamak için, sorgu penceresine özel günlüğünüze vermiş olduğunuz adı ("_CL" ile biten) yazın.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'e almak için özel günlük türlerinden veri toplamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: