Recopilación de datos de orígenes basados en Linux mediante SyslogCollect data from Linux-based sources using Syslog

Puede transmitir eventos de máquinas o dispositivos compatibles con Syslog basados en Linux a Azure Sentinel mediante el agente de Log Analytics para Linux (anteriormente conocido como agente de OMS).You can stream events from Linux-based, Syslog-supporting machines or appliances into Azure Sentinel, using the Log Analytics agent for Linux (formerly known as the OMS agent). Puede hacerlo en cualquier máquina que permita instalar el agente de Log Analytics directamente en la máquina.You can do this for any machine that allows for you to install the Log Analytics agent directly on the machine. El demonio de Syslog nativo de la máquina recopilará los eventos locales de los tipos especificados y los reenviará localmente al agente, que los transmitirá al área de trabajo Log Analytics.The machine's native Syslog daemon will collect local events of the specified types, and forward them locally to the agent, which will stream them to your Log Analytics workspace.

Nota

  • Si el dispositivo admite Common Event Format (CEF) en Syslog, se recopila un conjunto de datos más completo y los datos se analizan en la colección.If your appliance supports Common Event Format (CEF) over Syslog, a more complete data set is collected, and the data is parsed at collection. Debe elegir esta opción y seguir las instrucciones en Conexión de su solución externa con CEF.You should choose this option and follow the instructions in Connect your external solution using CEF.

  • Log Analytics admite la recopilación de mensajes enviados por los demonios rsyslog o syslog-ng, donde rsyslog es el predeterminado.Log Analytics supports collection of messages sent by the rsyslog or syslog-ng daemons, where rsyslog is the default. El demonio predeterminado de Syslog en la versión 5 de Red Hat Enterprise Linux (RHEL), CentOS y Oracle Linux (sysklog) no se admite para la recopilación de eventos de Syslog.The default syslog daemon on version 5 of Red Hat Enterprise Linux (RHEL), CentOS, and Oracle Linux version (sysklog) is not supported for syslog event collection. Para recopilar datos de Syslog de esta versión de estas distribuciones, es necesario instalar configurar el demonio de Rsyslog para reemplazar Sysklog.To collect syslog data from this version of these distributions, the rsyslog daemon should be installed and configured to replace sysklog.

FuncionamientoHow it works

Syslog es un protocolo de registro de eventos que es común a Linux.Syslog is an event logging protocol that is common to Linux. Al instalar el agente de Log Analytics para Linux en su VM o dispositivo, la rutina de instalación configura el demonio Syslog local para que reenvíe mensajes al agente en el puerto TCP 25224.When the Log Analytics agent for Linux is installed on your VM or appliance, the installation routine configures the local Syslog daemon to forward messages to the agent on TCP port 25224. Después, el agente envía el mensaje al área de trabajo de Log Analytics a través de HTTPS, donde se analiza en una entrada del registro de eventos de la tabla Syslog en Azure Sentinel > Registros.The agent then sends the message to your Log Analytics workspace over HTTPS, where it is parsed into an event log entry in the Syslog table in Azure Sentinel > Logs.

Para más información, consulte Orígenes de datos de Syslog en Azure Monitor.For more information, see Syslog data sources in Azure Monitor.

Configuración de recopilaciones de SyslogConfigure Syslog collection

Configuración de la máquina o el dispositivo LinuxConfigure your Linux machine or appliance

  1. En Azure Sentinel, seleccione Data connectors (Conectores de datos) y, después, seleccione el conector de Syslog.In Azure Sentinel, select Data connectors and then select the Syslog connector.

  2. En la hoja Syslog, seleccione Open connector page (Abrir página del conector).On the Syslog blade, select Open connector page.

  3. Instale el agente de Linux.Install the Linux agent. En Elija dónde quiere instalar al agente:Under Choose where to install the agent:

    Para una VM Linux de Azure:For an Azure Linux VM:

    1. Seleccione Instalación del agente en una máquina virtual Linux de Azure.Select Install agent on Azure Linux virtual machine.

    2. Haga clic en el vínculo Download & install agent for Azure Linux Virtual machines > (Descargar e instalar el agente para máquinas virtuales Linux de Azure >).Click the Download & install agent for Azure Linux Virtual machines > link.

    3. En la hoja Máquinas virtuales, haga clic en la máquina virtual en la que quiera instalar el agente y, a continuación, haga clic en Conectar.In the Virtual machines blade, click a virtual machine to install the agent on, and then click Connect. Repita este paso para cada VM que quiera conectar.Repeat this step for each VM you wish to connect.

    Para cualquier otra máquina Linux:For any other Linux machine:

    1. Seleccione Instalación del agente en una máquina Linux que no sea de Azure.Select Install agent on a non-Azure Linux Machine

    2. Haga clic en el vínculo Download & install agent for non-Azure Linux machines > (Descargar e instalar el agente para máquinas Linux que no sean de Azure >).Click the Download & install agent for non-Azure Linux machines > link.

    3. En la hoja Agents Management (Administración de agentes), haga clic en la pestaña Servidores Linux y, a continuación, copie el comando para descargar e incorporar el agente para Linux y ejecútelo en la máquina Linux.In the Agents management blade, click the Linux servers tab, then copy the command for Download and onboard agent for Linux and run it on your Linux machine.

    Nota

    Asegúrese de que configura los valores de seguridad para estos equipos de acuerdo con la directiva de seguridad de su organización.Make sure you configure security settings for these computers according to your organization's security policy. Por ejemplo, puede configurar los valores de red para que se alineen con la directiva de seguridad de red de la organización y cambiar los puertos y protocolos del demonio para que se adapten a sus requisitos de seguridad.For example, you can configure the network settings to align with your organization's network security policy, and change the ports and protocols in the daemon to align with the security requirements.

Configuración del agente de Log AnalyticsConfigure the Log Analytics agent

  1. En la parte inferior de la hoja del conector de Syslog, haga clic en el vínculo Open your workspace advanced settings configuration > (Abrir la configuración avanzada del área de trabajo >).At the bottom of the Syslog connector blade, click the Open your workspace advanced settings configuration > link.

  2. En la hoja Configuración avanzada, seleccione Datos > Syslog.On the Advanced settings blade, select Data > Syslog. A continuación, agregue los recursos del conector que se van a recopilar.Then add the facilities for the connector to collect.

    • Agregue los recursos que su dispositivo de Syslog incluye en sus encabezados de registro.Add the facilities that your syslog appliance includes in its log headers.

    • Si desea usar la detección de inicio de sesión de SSH anómalo con los datos que recopila, agregue auth y authpriv.If you want to use anomalous SSH login detection with the data that you collect, add auth and authpriv. Consulte la siguiente sección para conocer más detalles.See the following section for additional details.

  3. Cuando haya agregado todos los recursos que desea supervisar y ajustado las opciones de gravedad de cada uno, active la casilla Aplicar la configuración siguiente a mis máquinas.When you have added all the facilities that you want to monitor, and adjusted any severity options for each one, select the checkbox Apply below configuration to my machines.

  4. Seleccione Guardar.Select Save.

  5. En la VM o dispositivo, asegúrese de que está enviando los recursos que ha especificado.On your VM or appliance, make sure you're sending the facilities that you specified.

  6. Para consultar los datos de registro de Syslog en Registros, escriba Syslog en la ventana de consulta.To query the syslog log data in Logs, type Syslog in the query window.

  7. Puede usar los parámetros de consulta que se describen en Uso de funciones en consultas de registros de Azure Monitor para analizar los mensajes de Syslog.You can use the query parameters described in Using functions in Azure Monitor log queries to parse your Syslog messages. Después, puede guardar la consulta como una nueva función de Log Analytics y usarla como un nuevo tipo de datos.You can then save the query as a new Log Analytics function and use it as a new data type.

Nota

Uso del mismo equipo para reenviar Syslog sin formato y mensajes de CEFUsing the same machine to forward both plain Syslog and CEF messages

Puede usar la máquina del reenviador de registros de CEF existente para recopilar y reenviar registros también desde orígenes de Syslog sin formato.You can use your existing CEF log forwarder machine to collect and forward logs from plain Syslog sources as well. Sin embargo, debe realizar los pasos siguientes para evitar el envío de eventos en ambos formatos a Azure Sentinel, ya que esto provocará la duplicación de eventos.However, you must perform the following steps to avoid sending events in both formats to Azure Sentinel, as that will result in duplication of events.

Cuando ya haya configurado la recopilación de datos de los orígenes de CEF y haya configurado el agente de Log Analytics como se ha indicado anteriormente:Having already set up data collection from your CEF sources, and having configured the Log Analytics agent as above:

  1. En cada máquina que envíe registros en formato CEF, debe editar el archivo de configuración de Syslog para quitar las funciones que se usan para enviar mensajes CEF.On each machine that sends logs in CEF format, you must edit the Syslog configuration file to remove the facilities that are being used to send CEF messages. De este modo, las instalaciones que se envían en CEF no se enviarán también en Syslog.This way, the facilities that are sent in CEF won't also be sent in Syslog. Consulte Configuración de Syslog en agente de Linux para obtener instrucciones detalladas sobre cómo hacerlo.See Configure Syslog on Linux agent for detailed instructions on how to do this.

  2. Debe ejecutar el siguiente comando en esas máquinas para deshabilitar la sincronización del agente con la configuración de Syslog en Azure Sentinel.You must run the following command on those machines to disable the synchronization of the agent with the Syslog configuration in Azure Sentinel. Esto garantiza que el cambio de configuración que ha realizado en el paso anterior no se sobrescriba.This ensures that the configuration change you made in the previous step does not get overwritten.
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Configuración del conector de Syslog para la detección de inicios de sesión de SSH anómalosConfigure the Syslog connector for anomalous SSH login detection

Importante

La detección de inicios de sesión de SSH anómalos se encuentra actualmente en versión preliminar pública.Anomalous SSH login detection is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and it's not recommended for production workloads. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel puede aplicar aprendizaje automático (ML) a los datos de Syslog para identificar una actividad de inicio de sesión de Secure Shell anómala (SSH).Azure Sentinel can apply machine learning (ML) to the syslog data to identify anomalous Secure Shell (SSH) login activity. Los escenarios incluyen:Scenarios include:

  • Viaje imposible: cuando se producen dos eventos de inicio de sesión correctos desde dos ubicaciones que son imposibles de alcanzar en el período de tiempo de los dos eventos de inicio de sesión.Impossible travel – when two successful login events occur from two locations that are impossible to reach within the timeframe of the two login events.
  • Ubicación inesperada: la ubicación desde donde se produjo un evento de inicio de sesión correcto es sospechosa.Unexpected location – the location from where a successful login event occurred is suspicious. Por ejemplo, la ubicación no se ha visualizado recientemente.For example, the location has not been seen recently.

Esta detección requiere una configuración específica del conector de datos de Syslog:This detection requires a specific configuration of the Syslog data connector:

  1. En el paso 5 del procedimiento anterior, asegúrese de que auth y authpriv estén seleccionados como recursos para supervisar.For step 5 in the previous procedure, make sure that both auth and authpriv are selected as facilities to monitor. Mantenga la configuración predeterminada de las opciones de gravedad, de modo que todas estén seleccionadas.Keep the default settings for the severity options, so that they are all selected. Por ejemplo:For example:

    Recursos necesarios para la detección de inicios de sesión SSH anómalosFacilities required for anomalous SSH login detection

  2. Deje tiempo suficiente para que se recopile la información de Syslog.Allow sufficient time for syslog information to be collected. A continuación, vaya a Azure Sentinel: Registros y copie y pegue la siguiente consulta:Then, navigate to Azure Sentinel - Logs, and copy and paste the following query:

    Syslog |  where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count 
    

    Cambie el intervalo de tiempo si es necesario y seleccione Ejecutar.Change the Time range if required, and select Run.

    Si el recuento resultante es cero, confirme la configuración del conector y que los equipos supervisados tienen una actividad de inicio de sesión correcta durante el período de tiempo que especificó para la consulta.If the resulting count is zero, confirm the configuration of the connector and that the monitored computers do have successful login activity for the time period you specified for your query.

    Si el recuento resultante es mayor que cero, los datos de Syslog son adecuados para la detección de inicios de sesión de SSH anómalos.If the resulting count is greater than zero, your syslog data is suitable for anomalous SSH login detection. Puede habilitar esta detección en Análisis > Rule templates (Plantillas de reglas) > (Versión preliminar) Anomalous SSH Login Detection (Detección de inicios de sesión de SSH anómalos).You enable this detection from Analytics > Rule templates > (Preview) Anomalous SSH Login Detection.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar dispositivos locales de Syslog a Azure Sentinel.In this document, you learned how to connect Syslog on-premises appliances to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: