تجميع البيانات بتنسيقات سجلات مخصصة إلى Microsoft Sentinel باستخدام وكيل Log Analytics

  • مقالة
  • قراءة خلال 4 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

تقوم العديد من التطبيقات بتسجيل البيانات إلى ملفات نصية بدلا من خدمات التسجيل القياسية مثل Windows سجل الأحداث أو Syslog. يمكنك استخدام وكيل Log Analytics لجمع البيانات في ملفات نصية بتنسيقات غير قياسية من كل من أجهزة الكمبيوتر Windows وLinux. بمجرد تجميعها، يمكنك توزيع البيانات في حقول فردية في الاستعلامات أو استخراج البيانات أثناء التجميع إلى حقول فردية.

توضح هذه المقالة كيفية توصيل مصادر البيانات الخاصة بك إلى Microsoft Sentinel باستخدام تنسيقات السجل المخصصة. لمزيد من المعلومات حول موصلات البيانات المدعومة التي تستخدم هذه الطريقة، راجع مرجع موصلات البيانات.

تعرف على كل شيء عن السجلات المخصصة في وثائق Azure Monitor.

على غرار Syslog ، هناك خطوتان لتكوين مجموعة السجلات المخصصة:

  • قم بتثبيت عامل Log Analytics على جهاز Linux أو Windows الذي سيقوم بإنشاء السجلات.

  • قم بتكوين إعدادات تسجيل التطبيق الخاص بك.

  • قم بتكوين عامل Log Analytics من داخل Microsoft Sentinel.

تثبيت وكيل "إحصاءات السجل"

قم بتثبيت عامل Log Analytics على جهاز Linux أو Windows الذي سيقوم بإنشاء السجلات.

ملاحظة

يوصي بعض الموردين بتثبيت عامل Log Analytics على خادم سجل منفصل بدلا من تثبيته مباشرة على الجهاز. راجع قسم منتجك في الصفحة المرجعية لموصلات البيانات ، أو الوثائق الخاصة بمنتجك.

حدد علامة التبويب المناسبة أدناه، استنادا إلى ما إذا كان الموصل يحتوي على صفحة موصل بيانات في Microsoft Sentinel.

  1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد نوع جهازك، ثم حدد فتح صفحة الموصل.

  3. قم بتثبيت الوكيل وإعداده على الجهاز الذي يقوم بإنشاء السجلات. اختر Linux أو Windows حسب الاقتضاء.

    نوع الجهاز الإرشادات
    for a Azure Linux VM
    1. ضمن اختيار مكان تثبيت وكيل Linux، قم بتوسيع تثبيت العامل على الجهاز الظاهري Azure Linux.

    2. حدد الارتباط تنزيل & وكيل التثبيت لأجهزة >Azure Linux الظاهرية.

    3. في شفرة الأجهزة الظاهرية، حدد جهازا ظاهريا لتثبيت العامل عليه، ثم حدد الاتصال. كرر هذه الخطوة لكل جهاز ظاهري ترغب في الاتصال به.
    لأي جهاز لينكس آخر
    1. ضمن اختيار مكان تثبيت وكيل Linux، قم بتوسيع تثبيت عامل على جهاز Linux غير Azure.

    2. حدد الارتباط تنزيل & عامل التثبيت للأجهزة >غير التابعة ل Azure Linux.

    3. في الشفرة النصلية لإدارة الوكلاء، حدد علامة التبويب خوادم Linux، ثم انسخ الأمر الخاص بتنزيل الوكيل والإعداد لنظام التشغيل Linux وقم بتشغيله على جهاز Linux الخاص بك.

      إذا كنت ترغب في الاحتفاظ بنسخة محلية من ملف تثبيت وكيل Linux، فحدد الارتباط تنزيل وكيل Linux أعلى الأمر "تنزيل الوكيل وإعداده".
    ل Azure Windows VM
    1. ضمن اختيار مكان تثبيت عامل Windows، قم بتوسيع تثبيت العامل على جهاز Azure Windows الظاهري.

    2. حدد الارتباط تنزيل & عامل تثبيت ل Azure Windows الأجهزة >الظاهرية.

    3. في شفرة الأجهزة الظاهرية، حدد جهازا ظاهريا لتثبيت العامل عليه، ثم حدد الاتصال. كرر هذه الخطوة لكل جهاز ظاهري ترغب في الاتصال به.
    لأي آلة Windows أخرى
    1. ضمن اختيار مكان تثبيت عامل Windows، قم بتوسيع تثبيت العامل على جهاز Windows غير Azure

    2. حدد الارتباط تنزيل & عامل التثبيت للأجهزة >Windows غير التابعة ل Azure.

    3. في الشفرة النصلية لإدارة الوكلاء، ضمن علامة التبويب خوادم Windows، حدد الارتباط تنزيل Windows العامل لأنظمة 32 بت أو 64 بت، حسب الاقتضاء.

تكوين السجلات المراد جمعها

تحتوي العديد من أنواع الأجهزة على موصلات بيانات خاصة بها تظهر في صفحة موصلات البيانات في Microsoft Sentinel. تتطلب بعض هذه الموصلات إرشادات إضافية خاصة لإعداد مجموعة السجلات بشكل صحيح في Microsoft Sentinel. يمكن أن تتضمن هذه التعليمات تنفيذ محلل استنادا إلى وظيفة Kusto.

ستعرض جميع الموصلات المدرجة في Microsoft Sentinel أي إرشادات محددة على صفحات الموصلات الخاصة بها في البوابة الإلكترونية، وكذلك في أقسامها في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

إذا لم يكن منتجك مدرجا في صفحة موصلات البيانات ، فراجع وثائق المورد للحصول على إرشادات حول تكوين تسجيل الدخول لجهازك.

تكوين وكيل "إحصاءات السجل"

  1. من صفحة الموصل، حدد الارتباط فتح تكوين السجلات المخصصة لمساحة العمل .

    أو، من قائمة التنقل في مساحة عمل Log Analytics، حدد سجلات مخصصة.

  2. في علامة التبويب جداول مخصصة ، حدد إضافة سجل مخصص.

  3. في علامة التبويب نموذج، قم بتحميل عينة من ملف سجل من جهازك (على سبيل المثال، الوصول.log أو الخطأ.log). ثم حدد «التالي».

  4. في علامة التبويب محدد السجلات ، حدد محدد سجل، إما سطر جديد أو طابع زمني (راجع الإرشادات الموجودة في علامة التبويب هذه)، وحدد التالي.

  5. في علامة التبويب مسارات المجموعة، حدد نوع مسار Windows أو Linux، وأدخل المسار إلى سجلات جهازك استنادا إلى التكوين. ثم حدد «التالي».

  6. امنح سجلك المخصص اسما ووصفا اختياريا وحدد التالي.
    لا تنهي اسمك ب "_CL" ، حيث سيتم إلحاقه تلقائيا.

العثور على بياناتك

للاستعلام عن بيانات السجل المخصص في السجلات، اكتب الاسم الذي أعطيته للسجل المخصص (ينتهي ب "_CL") في نافذة الاستعلام.

الخطوات التالية

في هذا المستند، تعلمت كيفية تجميع البيانات من أنواع السجلات المخصصة لاستيعابها في Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية: