[已淘汰]使用 Log Analytics 代理程式收集自訂記錄格式的數據，以Microsoft Sentinel

重要

許多設備與裝置的記錄收集現在都透過下列項目支援：透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog，或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊，請參閱尋找您的 Microsoft Sentinel 資料連接器。

本文說明如何使用 Log Analytics 代理程式將資料從使用自訂記錄格式的裝置收集到 Microsoft Sentinel。 若要了解如何使用 Azure 監視器代理程式 (AMA)擷取自訂記錄，請參閱使用 Azure 監視器代理程式從文字檔收集記錄並擷取至 Microsoft Sentinel。

許多應用程式會將資料記錄到文字檔而非標準的記錄服務，例如 Windows 事件記錄檔或 Syslog。 您可以使用 Log Analytics 代理程式，從 Windows 和 Linux 電腦收集非標準格式文字檔中的資料。 收集之後，您可以在查詢中，將資料剖析成個別的欄位，或將收集期間的資料擷取至個別的欄位。

如需收集自訂記錄格式的所支援連接器詳細資訊，請參閱資料連接器參考。

重要

Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用記錄分析代理程式，我們建議您完成移轉至 Azure 監視器代理程式 (AMA)。 如需詳細資訊，請參閱 適用於 Microsoft Sentinel 的 AMA 移轉。

了解 Azure 監視器文件中自訂記錄的一切。

注意

如需美國政府雲端中功能可用性的相關資訊，請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

安裝 Log Analytics 代理程式

在 Linux 或 Windows 機器上安裝將產生記錄的 Log Analytics 代理程式。

有些廠商建議在個別的記錄伺服器上安裝 Log Analytics 代理程式，而不是直接在裝置上安裝。 請參閱資料連線器參考頁面上的產品一節，或您產品自己的文件。

根據連接器是否屬於 Microsoft Sentinel 之內容中樞中列出的解決方案，選取下方的適當索引標籤。

從特定資料連線器頁面

開始之前，請先從 Microsoft Sentinel 中的 Content Hub 安裝產品的解決方案。 如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成可用的內容。 產品的資料連接器可供使用後，請繼續進行下列步驟。

1. 從 Microsoft Sentinel 導覽功能表中，選取 [資料連接器]。

2. 搜尋並選取適當的產品資料連接器。

3. 選取 [開啟連接器頁面]。

4. 在產生記錄的裝置上安裝並上線代理程式。 視需要選擇 Linux 或 Windows。

   電腦類型	指示
   針對 Azure Linux VM	在 [選擇安裝 Linux 代理程式的位置] 底下，展開 [在 Azure Linux 虛擬機器上安裝代理程式]。 選取 [下載並安裝 Azure Linux 虛擬機器的代理程式 >] 連結。 在 [虛擬機器] 刀鋒視窗中，選取代理程式安裝所在的虛擬機器，然後選取 [連線]。 針對您想要連接的每個 VM 重複此步驟。
   針對任何其他 Linux 機器	在 [選擇安裝 Linux 代理程式的位置] 底下，展開 [在非 Azure Linux 機器上安裝代理程式]。 選取 [下載並安裝非 Azure Linux 機器的代理程式 >] 連結。 在 [代理程式管理] 刀鋒視窗中，選取 [Linux 伺服器] 索引標籤，然後複製適用於 Linux 的下載和上線代理程式命令，並在 Linux 機器上執行。 如果您想要保留 Linux 代理程式安裝檔案的本地複本，請選取「下載並上線代理程式」命令上方的 [下載 Linux 代理程式] 連結。
   針對 Azure Windows VM	在 [選擇安裝 Windows 代理程式的位置] 底下，展開 [在 Azure Windows 虛擬機器上安裝代理程式]。 選取 [下載並安裝 Azure Windows 虛擬機器的代理程式 >] 連結。 在 [虛擬機器] 刀鋒視窗中，選取代理程式安裝所在的虛擬機器，然後選取 [連線]。 針對您想要連接的每個 VM 重複此步驟。
   針對其他任何 Windows 機器	在 [選擇安裝 Windows 代理程式的位置] 底下，展開 [在非 Azure Windows 機器上安裝代理程式] 選取 [下載並安裝非 Azure Windows 機器的代理程式 >] 連結。 在 [代理程式管理] 刀鋒視窗的 [Windows 伺服器] 索引標籤上，視需要選取 32 位元或 64 位元系統的 [下載 Windows 代理程式] 連結。

其他資料來源

1. 從 Microsoft Sentinel 導覽功能表中，選取 [設定]，然後選取 [工作區設定] 索引標籤。

2. 在產生記錄的裝置上安裝並上線代理程式。 視需要選擇 Linux 或 Windows。

   電腦類型	指示
   Azure VM (Windows 或 Linux)	從 Log Analytics 工作區導覽功能表中，選取 [虛擬機器]。 在 [虛擬機器] 刀鋒視窗中，選取代理程式安裝所在的虛擬機器，然後選取 [連線]。 針對您想要連接的每個 VM 重複此步驟。
   任何其他 Windows 或 Linux 機器	從 Log Analytics 工作區導覽功能表中，選取 [代理程式管理]。 視需要選取 [Windows 伺服器] 或 [ Linux 伺服器] 索引標籤。 若為 Windows，視需要針對 32 位元或 64 位元系統選取 [下載 Windows 代理程式] 連結。 若為 Linux，複製 [下載和上線 Linux 代理程式] 的命令，然後從命令列執行該命令，或選取 [下載 Linux 代理程式] 連結，以下載安裝檔案的本機複本。

設定要收集的記錄

許多裝置類型都有自己的資料連接器，其會出現在 Microsoft Sentinel 的 [資料連接器] 頁面中。 其中有些連接器需要特殊的額外指示，才能在 Microsoft Sentinel 中正確設定記錄收集。 這些指示可以包含根據 Kusto 函數剖析器的實作。

Microsoft Sentinel 中所列的所有連接器都會在入口網站的個別連接器頁面上，以及 [Microsoft Sentinel 資料連接器參考] 頁面的區段中顯示任何特定指示。

如果您的產品沒有 Content Hub 所列資料連接器的解決方案，請參閱廠商的文件，以取得為裝置設定記錄的指示。

設定 Log Analytics 代理程式

1. 從連接器頁面中，選取 [開啟工作區自訂記錄設定] 連結。

   或者，從 Log Analytics 工作區導覽功能表中，選取 [自訂記錄]。

2. 在 [自訂資料表] 索引標籤中，選取 [新增自訂記錄]。

3. 在 [範例] 索引標籤中，從您的裝置上傳記錄檔的範例 (例如 access.log 或 error.log)。 然後選取下一步。

4. 在 [記錄分隔符號] 索引標籤中，選取記錄分隔符號 ([新行] 或 [時間戳記]) (請參閱該索引標籤上的指示)，然後選取 [下一步]。

5. 在 [收集路徑] 索引標籤中，選取 Windows 或 Linux 的路徑類型，然後根據您的設定輸入裝置記錄的路徑。 然後選取下一步。

6. 為您的自訂記錄命名，並選擇性地提供描述，然後選取 [下一步]。
   請不要以 "_CL" 結尾，因為其會自動附加。

尋找資料

若要在 [記錄] 中查詢自訂記錄資料，請在查詢視窗中輸入您提供給自訂記錄的名稱 (以 "_CL" 結尾)。

下一步

在本文件中，您已了解如何從自訂記錄類型收集資料，以擷取至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。