使用 Azure 監視器代理程式從文字檔案收集記錄，並擷取至 Microsoft Sentinel

發行項
10/16/2024
適用於:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何透過 AMA 連接器使用自訂記錄，從安裝在 Windows 或 Linux 機器上的網路或安全性應用程式，快速篩選及擷取文字檔格式的記錄。

許多應用程式會將資料記錄到文字檔而非標準的記錄服務，例如 Windows 事件記錄檔或 Syslog。您可以使用 Azure 監視器代理程式 (AMA)，從 Windows 和 Linux 電腦收集非標準格式文字檔中的資料。 AMA 也可以在收集資料時影響資料的轉換，將其剖析為不同的欄位。

如需 Microsoft Sentinel 具解決方案以支援記錄收集之應用程式的詳細資訊，請參閱透過 AMA 資料連接器的自訂記錄 - 設定從特定應用程式將資料擷取至 Microsoft Sentinel。

如需從文字檔擷取自訂記錄的一般資訊，請參閱使用 Azure 監視器代理程式從文字檔收集記錄。

重要

透過 AMA 資料連接器的自訂記錄目前為預覽版。請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

開始之前，您必須設定資源及指派適當權限，如本章節所述。

Microsoft Sentinel 必要條件

請安裝與您的應用程式相符的 Microsoft Sentinel 解決方案，並確保您有權完成本文中的步驟。您可以在 Microsoft Sentinel 的內容中樞裡找到這些解決方案，而且全都包含透過 AMA 連接器的自訂記錄。

如需內容中樞裡具有解決方案的應用程式清單，請參閱每個應用程式的特定指示。如果您的應用程式沒有可用的解決方案，請安裝透過 AMA 解決方案的自訂記錄。

如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成可用的內容。

擁有具有下列 Azure 角色型存取控制 (Azure RBAC) 角色的 Azure 帳戶：

內建角色	範圍	原因
- 虛擬機器參與者 - Azure Connected Machine 資源管理員	虛擬機器 (VM) 虛擬機器擴展集已啟用 Azure Arc 的伺服器 (英文)	若要部署代理程式
包含此動作的任何角色 Microsoft.Resources/deployments/*	訂用帳戶資源群組現有的資料收集規則	部署 Azure Resource Manager 範本
監視參與者	訂用帳戶資源群組現有的資料收集規則	為了建立或編輯資料收集規則

記錄轉寄站必要條件

某些自訂應用程式裝載於需要將其記錄傳送至外部記錄收集器/轉寄站的封閉式設備上。在這種案例下，下列必要條件會套用至記錄轉寄站：

您必須將指定的 Linux VM 指定為記錄轉寄站，才能收集記錄。
- 使用 Azure 入口網站建立 Linux VM。
- 適用於 Azure 監視器代理程式的受支援 Linux 作業系統。
如果您的記錄轉寄站不是 Azure 虛擬機器，則記錄轉寄站必須安裝 Azure Arc Connected Machine 代理程式。
Linux 記錄轉寄站 VM 必須安裝 Python 2.7 或 Python 3。使用 python --version 或 python3 --version 命令來檢查。如果您使用 Python 3，請確保其已設定為機器的預設命令，或使用「python3」命令執行指令碼，而不是使用「python」。
記錄轉寄站必須啟用 syslog-ng 或 rsyslog 精靈。
如需記錄轉寄站的空間需求，請參閱 Azure 監視器代理程式效能基準。您也可以檢閱此部落格文章，其中包含可調整內嵌的設計。
您的記錄來源、安全性裝置和設備必須設定為將其記錄訊息傳送至記錄轉寄站的 Syslog 精靈，而不是傳送至其本機 Syslog 精靈。

機器安全性必要條件

根據組織的安全性原則，設定記錄轉寄站機器的安全性。例如，可根據公司網路安全性原則設定網路，並且依需求變更精靈中的連接埠和通訊協定。若要改善機器安全性設定，請在 Azure 中保護您的 VM，或檢閱下列網路安全性的最佳做法。

如果您的裝置透過 TLS 傳送記錄 (例如，由於您的記錄轉寄站位於雲端)，您必須設定 Syslog 精靈 (rsyslog 或 syslog-ng)，才能在 TLS 中進行通訊。如需詳細資訊，請參閱

設定資料連接器:

透過 AMA 資料連接器之自訂記錄的設定流程包含下列步驟：

請在 Log Analytics 中建立目的地資料表 (如果您是在 Defender 入口網站，則在進階搜捕中建立)。

資料表的名稱必須以 _CL 結尾，而且必須只包含下列兩個欄位：
- TimeGenerated (類型為 DateTime)：建立記錄訊息的時間戳記。
- RawData (類型為字串)：完整的記錄訊息。
  (如果您要從記錄轉寄站收集記錄，而不是直接從裝載應用程式的裝置收集記錄，請將此欄位命名為 Message，而非 RawData。)
安裝 Azure 監視器代理程式，並使用下列任一方法建立資料收集規則 (DCR):
- Azure 或 Defender 入口網站
- Azure Resource Manager 範本
如果您正在使用記錄轉寄站收集記錄，請將 Syslog 精靈設定在該機器上，以接聽來自其他資源的訊息，並開啟所需的本機連結埠。如需詳細資料，請參閱設定記錄轉寄站以接受記錄。

選取適當的索引標籤以取得指示。

Azure 或 Defender 入口網站
Resource Manager 範本

建立資料收集規則 (DCR)

若要開始使用，請在 Microsoft Sentinel 中開啟透過 AMA 資料連接器的自訂記錄，並建立資料收集規則 (DCR)。

針對 Azure 入口網站的 Microsoft Sentinel，在 [設定] 下方選取 [資料連接器].。
針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]> [設定]> [資料連接器]。
在 [搜尋] 方塊中輸入自訂。從結果中選取 [透過 AMA 連接器的自訂記錄]。
選取詳細資料窗格上的 [開啟連接器頁面]。
在 [設定] 區域中，選取 [+ 建立資料收集規則]。
在 [基本] 索引標籤中:
- 輸入 DCR 名稱。
- 選取您的訂用帳戶。
- 選取您想要尋找 DCR 的資源群組。
選取 [下一步: 資源]>。

定義 VM 資源

在 [資源] 索引標籤中，選取您要從中收集記錄的機器。這些是安裝應用程式的機器，或是記錄轉寄站機器。如果您要尋找的機器未出現在清單中，它可能不是已安裝 Azure Connected Machine Agent 的 Azure VM。

使用可用篩選或搜尋方塊來尋找您要尋找的機器。展開清單中的訂閱以查看其資源群組，以及展開資源群組以查看其 VM。
選取您想要從中收集記錄的機器。當您將滑鼠停留在 VM 名稱上方時，核取方塊會出現在 VM 名稱旁邊。

如果您選取的機器尚未安裝 Azure 監視器代理程式，則會在建立並部署 DCR 時安裝代理程式。
檢閱您的變更，並選取 [下一步: 收集]>。

設定應用程式的 DCR

在 [收集] 索引標籤中，從 [選取裝置類型(選用)] 下拉式方塊中選取您的應用程式或裝置類型，或若您的應用程式或裝置未在清單中時，保持為自訂新資料表。
如果您選擇其中一個列出的應用程式或裝置，[資料表名稱] 欄位會自動填入正確的資料表名稱。如果您選擇 [自訂新資料表]，請在 [資料表名稱] 底下輸入資料表名稱。名稱必須以 _CL 尾碼結尾。
在 [檔案模式] 欄位中，輸入要收集的文字記錄檔的路徑和檔案名稱。若要尋找每個應用程式或裝置類型的預設檔案名稱和路徑，請參閱每個應用程式類型的特定指示。您不需要使用預設檔案名稱或路徑，而且可以在檔案名稱中使用萬用字元。
在 [轉換] 欄位中，如果您在步驟 1 中選擇自訂新資料表，請輸入 Kusto 查詢，以將您選擇的轉換套用至資料。

如果您在步驟 1 選擇其中一個列出的應用程式或裝置，這個欄位會自動填入合適的轉換。「請勿」編輯出現在該處的轉換。視所選類型而定，此值應該是下列其中一項：
- source (預設—無轉換)
- source | project-rename Message=RawData (針對將記錄傳送至轉寄站的裝置)
檢閱您的選項並選取 [下一步: 檢閱 + 建立]。

檢閱並建立規則

完成所有索引標籤後，請檢閱輸入的內容並建立資料收集規則。

在 [檢閱及建立] 索引標籤中，選取 [建立]。

連接器會在您建立 DCR 時選取的機器上安裝 Azure 監視器代理程式。
檢查 Azure 入口網站或 Microsoft Defender 入口網站中的通知，以查看 DCR 的建立時間和代理程式的安裝時間。
選取連接器頁面上 [重新整理]，以查看清單中顯示的 DCR。

安裝 Azure 監視器代理程式

請遵循 Azure 監視器文件的適當指示，在裝載應用程式的機器或記錄轉寄站上，安裝 Azure 監視器代理程式。視需要，使用適用於 Windows 或適用於 Linux 的指示。

使用 Azure 監視器記錄擷取 API 來建立資料收集規則 (DCR)。如需詳細資訊，請參閱 Azure 監視器中的資料收集角色。

建立資料收集規則

使用下列 ARM 範本，來建立或修改 DCR 以收集文字記錄檔：

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "{DCR_NAME}",
            "location": "{DCR_LOCATION}",
            "apiVersion": "2022-06-01",
            "properties": {
                "streamDeclarations": {
                    "Custom-Text-{TABLE_NAME}": {
                        "columns": [
                            {
                                "name": "TimeGenerated",
                                "type": "datetime"
                            },
                            {
                                "name": "RawData",
                                "type": "string"
                            },
                        ]
                    }
                },
                "dataSources": {
                    "logFiles": [
                        {
                            "streams": [
                                "Custom-Text-{TABLE_NAME}"
                            ],
                            "filePatterns": [
                                "{LOCAL_PATH_FILE_1}","{LOCAL_PATH_FILE_2}"
                            ],
                            "format": "text",
                            "name": "Custom-Text-{TABLE_NAME}"
                        }
                    ]
                },
                "destinations": {
                    "logAnalytics": [
                        {
                            "workspaceResourceId": "{WORKSPACE_RESOURCE_PATH}",
                            "workspaceId": "{WORKSPACE_ID}",
                            "name": "workspace"
                        }
                    ]
                },
                "dataFlows": [
                    {
                        "streams": [
                            "Custom-Text-{TABLE_NAME}"
                        ],
                        "destinations": [
                            "DataCollectionEvent"
                        ],
                        "transformKql": "source",
                        "outputStream": "Custom-{TABLE_NAME}"
                    }
                ]
            }
        }
    ]
}

以下列的值取代 {PLACE_HOLDER} 值：

預留位置	值
{DCR_NAME}	您為資料收集規則選擇的名稱。該名稱在您的工作區中必須是唯一的。
{DCR_LOCATION}	包含 DCR 的資源群組所在的區域。
{TABLE_NAME}	Log Analytics 中目的地資料表的名稱。必須以 `_CL` 結尾。
{LOCAL_PATH_FILE_1} (required), {LOCAL_PATH_FILE_2} (optional)	包含您要收集之記錄的文字檔路徑和檔案名稱。這些必須位於安裝 Azure 監視器代理程式的機器上。
{WORKSPACE_RESOURCE_PATH}	您的 Microsoft Sentinel 工作區的 Azure 資源路徑。
{WORKSPACE_ID}	您的 Microsoft Sentinel 工作區的 GUID。

將 DCR 與 Azure 監視器代理程式產生關聯

如果您使用 ARM 範本建立 DCR，您必須將 DCR 與將使用它的代理程式產生關聯。如同定義 VM 資源中所述，您可以在 Azure 入口網站中編輯 DCR，並選取代理程式。

設定記錄轉寄站以接受記錄

如果您要使用記錄轉寄站從一個設備收集記錄，在記錄轉寄站上設定 Syslog 精靈以接聽來自其他機器的訊息，以及開啟所需的本機連結埠。

複製下列命令列：

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

登入您剛安裝 AMA 的記錄轉寄站機器。
貼上您在最後一個步驟中複製的命令，以啟動安裝指令碼。
指令碼會將 rsyslog 或 syslog-ng 精靈設定為使用必要的通訊協定，並重新啟動精靈。指令碼會開啟連接埠 514，以接聽 UDP 和 TCP 通訊協定中的傳入訊息。若要變更此設定，請參考根據機器上執行精靈類型的 Syslog 精靈組態檔：
- Rsyslog：/etc/rsyslog.conf
- Syslog-ng：/etc/syslog-ng/syslog-ng.conf
如果您使用 Python 3，而且在機器上尚未設定為預設命令，請將 python3 取代為貼上命令中的 python。請參閱記錄轉寄站必要條件。

注意

為了避免磁碟已滿的情況，導致代理程式無法運作，建議您將 syslog-ng 或 rsyslog 組態設定為不儲存不必要的記錄。磁碟已滿的情況會中斷已安裝 AMA 的運作。如需詳細資訊，請參閱 RSyslog 或 Syslog-ng。

設定安全性裝置或設備

如需設定安全性應用程式或設備的特定指示，請參閱透過 AMA 資料連接器的自訂記錄 - 設定從特定應用程式將資料擷取至 Microsoft Sentinel

如需詳細資訊或無法取得設備或裝置的資訊時，請和解決方案提供者連絡。

共用方式為

使用 Azure 監視器代理程式從文字檔案收集記錄，並擷取至 Microsoft Sentinel