Syslog 和 Common Event Format （CEF） 透過 Microsoft Sentinel 的 AMA 連接器

透過適用於 Microsoft Sentinel 篩選和內嵌 Syslog 訊息的 AMA 資料連接器，透過 AMA 和通用事件格式 （CEF） 的 Syslog 和通用事件格式 （CEF），以及來自 Linux 計算機，以及來自網路與安全性裝置和設備的訊息。 這些連接器會在您想要收集 Syslog 和/或 CEF 訊息的任何 Linux 電腦上安裝 Azure 監視器代理程式 （AMA）。 此電腦可能是訊息的發源者，或者可能是從其他電腦收集訊息的轉寄站，例如網路或安全性裝置和設備。 連接器會根據 您定義的數據收集規則 （DCR） 傳送代理程式指示。 DCR 指定要監視的系統，以及要收集的記錄或訊息類型。 他們會定義篩選，以在擷取訊息之前套用至訊息，以取得更佳的效能及更有效率的查詢和分析。

Syslog 和 CEF 是記錄不同裝置和應用程式數據的兩種常見格式。 它們可協助系統管理員和安全性分析師監視及疑難解答網路，並找出潛在的威脅或事件。

什麼是 Syslog？

Syslog 是一種標準通訊協定，可用來透過網路在不同裝置或應用程式之間傳送和接收訊息。 它最初是針對 Unix 系統開發，但現在受到各種平臺和廠商的廣泛支援。 Syslog 訊息具有預先定義的結構，其中包含優先順序、時間戳、主機名、應用程式名稱、進程標識碼和消息正文。 Syslog 訊息可以透過 UDP、TCP 或 TLS 傳送，視設定和安全性需求而定。

Azure 監視器代理程序支援 Syslog RFCs 3164 和 5424。

什麼是通用事件格式 （CEF）？

CEF 或 Common Event Format 是廠商中性格式，用於記錄來自網路和安全性裝置和設備的數據，例如防火牆、路由器、偵測和回應解決方案，以及入侵檢測系統，以及來自其他類型的系統，例如網頁伺服器。 Syslog 的延伸模組是專為安全性資訊和事件管理 （SIEM） 解決方案所開發。 CEF 訊息具有標準標頭，其中包含裝置廠商、裝置產品、裝置版本、事件類別、事件嚴重性和事件標識符等資訊。 CEF 訊息也有可變數目的延伸模組，可提供事件的詳細數據，例如來源和目的地 IP 位址、使用者名稱、檔名或所採取的動作。

使用 AMA 的 Syslog 和 CEF 訊息集合

下圖說明 Microsoft Sentinel 中的 Syslog 和 CEF 訊息集合架構，使用 Syslog 透過 AMA 和 通用事件格式 （CEF） 透過 AMA 連接器。

單一電腦 （syslog）

此圖顯示從安裝 Azure 監視器代理程式 （AMA） 的單一 Linux 虛擬機收集的 Syslog 訊息。

使用 Azure 監控器代理程式的資料擷取程式會使用下列元件和資料流：

• 記錄來源 是您環境中產生 Syslog 訊息的各種 Linux VM。 這些訊息是由 TCP 或 UDP 連接埠 514 上的本機 Syslog 精靈收集的（或您喜好設定的另一個埠）。

• 本機 Syslog 精靈 （rsyslog或 syslog-ng） 會收集 TCP 或 UDP 連接埠 514 上的記錄訊息（或您喜好設定的另一個埠）。 精靈接著會根據 AMA 版本，以兩種不同的方式將這些記錄傳送至 Azure 監視器代理程式 ：

  • AMA 1.28.11 版和更新版本會在 TCP 連接埠 28330 上接收記錄。
  • 舊版 AMA 會透過 Unix 網域套接字接收記錄。

  如果您想要使用 514 以外的埠來接收 Syslog/CEF 訊息，請確定 Syslog 精靈上的埠組態符合產生訊息的應用程式埠組態。

• 您要從中收集 Syslog 訊息的每個 Linux VM 上安裝的 Azure 監視器代理程式，方法是設定資料連接器。 代理程式會剖析記錄，然後將記錄傳送至您的 Microsoft Sentinel （Log Analytics） 工作區。

• 您的 Microsoft Sentinel （Log Analytics） 工作區： 此處傳送的 Syslog 訊息最終會出現在 Syslog 數據表中，您可以在其中查詢記錄並執行分析，以偵測及回應安全性威脅。

記錄轉寄站 （syslog/CEF）

此圖顯示從安裝 Azure 監視器代理程式 （AMA） 的 Linux 型記錄轉送機器收集的 Syslog 和 CEF 訊息。 此記錄轉寄站會從其原始機器、裝置或設備收集 Syslog 和 CEF 訊息。

使用 Azure 監控器代理程式的資料擷取程式會使用下列元件和資料流：

• 記錄來源 是您環境中各種安全性裝置和設備，這些裝置會以 CEF 格式或純 Syslog 格式產生記錄訊息。 這些裝置已設定為透過 TCP 或 UDP 連接埠 514 傳送其記錄訊息（或您偏好的另一個埠）， 而不是 傳送至其本機 Syslog 精靈，而是傳送至 記錄轉寄站上的 Syslog 精靈。

• 記錄轉寄站 是一個專用的Linux VM，您的組織設定為從Syslog和CEF記錄來源收集記錄訊息。 VM 可以是內部部署、Azure 或另一個雲端。 此記錄轉寄站本身有兩個元件：

  • Syslog 精靈 （rsyslog或 syslog-ng） 會收集 TCP 或 UDP 連接埠 514 上的記錄訊息（或您喜好設定的另一個埠）。 精靈接著會根據 AMA 版本，以兩種不同的方式將這些記錄傳送至 Azure 監視器代理程式 ：

    • AMA 1.28.11 版和更新版本會在 TCP 連接埠 28330 上接收記錄。
    • 舊版 AMA 會透過 Unix 網域套接字接收記錄。

    如果您想要使用 514 以外的埠來接收 Syslog/CEF 訊息，請確定 Syslog 精靈上的埠組態符合產生訊息的應用程式埠組態。

  • 您藉由設定 Syslog 和/或 CEF 數據連接器，在記錄轉寄站上安裝的 Azure 監視器代理程式。 代理程式會剖析記錄，然後將記錄傳送至您的 Microsoft Sentinel （Log Analytics） 工作區。

• 您的 Microsoft Sentinel （Log Analytics） 工作區： 此處傳送的 CEF 記錄最終會位於 CommonSecurityLog 數據表中，以及 Syslog 數據表中的 Syslog 訊息。 您可以在該處查詢記錄，並對其執行分析，以偵測及回應安全性威脅。

收集記錄訊息的安裝程式

從 Microsoft Sentinel 的內容中樞，安裝適用於 Syslog 或一般事件格式的適當解決方案。 此步驟會透過 AMA 或一般事件格式 （CEF） 透過 AMA 資料連接器安裝個別的數據連接器 Syslog。 如需詳細資訊，請參閱 探索及管理現用的 Microsoft Sentinel 內容。

在安裝過程中，建立數據收集規則，並在記錄轉寄站上安裝 Azure 監視器代理程式（AMA）。 使用 Azure 或 Microsoft Defender 入口網站或使用 Azure 監視器記錄擷取 API 來執行這些工作。

• 當您在 Azure 或 Microsoft Defender 入口網站中設定 Microsoft Sentinel 的數據連接器時，您可以為每個工作區建立、管理及刪除 DCR。 AMA 會自動安裝在您在連接器組態中選取的 VM 上。

• 或者，將 HTTP 要求傳送至記錄擷取 API。 透過此設定，您可以建立、管理及刪除 DCR。 此選項比入口網站更有彈性。 例如，使用 API，您可以依特定記錄層級進行篩選。 在 Azure 或 Defender 入口網站中，您只能選取最低記錄層級。 使用此方法的缺點是，您必須在記錄轉寄站上手動安裝 Azure 監視器代理程式，才能建立 DCR。

建立 DCR 並安裝 AMA 之後，請在記錄轉寄站上執行「安裝」腳本。 此腳本會設定 Syslog 精靈來接聽來自其他電腦的訊息，並開啟必要的本機埠。 然後視需要設定安全性裝置或設備。

如需詳細資訊，請參閱 使用 Azure 監視器代理程式將 Syslog 和 CEF 訊息內嵌至 Microsoft Sentinel。

避免數據擷取重複

針對 Syslog 和 CEF 訊息使用相同的功能，可能會導致 CommonSecurityLog 和 Syslog 數據表之間的數據擷取重複。

若要避免這種情況，請使用下列其中一種方法：

• 如果來源裝置啟用目標設施的設定：在每個以 CEF 格式傳送記錄至記錄轉寄站的來源電腦上，編輯 Syslog 組態檔以移除用來傳送 CEF 訊息的設施。 如此一來，CEF 中傳送的設施也不會在 Syslog 中傳送。 請確定您在後續步驟中設定的每個 DCR 分別使用 CEF 或 Syslog 的相關設備。

  若要查看如何排列 DCR 以從相同代理程式擷取 Syslog 和 CEF 訊息的範例，請移至 相同 DCR 中的 Syslog 和 CEF 數據流。

• 如果變更來源設備的設施不適用：使用擷取時間轉換來篩選掉 Syslog 資料流中的 CEF 訊息，以避免重複，如下列查詢範例所示。

  source |
  where ProcessName !contains "CEF"
  

下一步

設定數據連接器