Collecter des données de sources Linux à l’aide de SyslogCollect data from Linux-based sources using Syslog

Vous pouvez diffuser des événements en continu à partir de machines ou d’appliances Linux prenant en charge Syslog, à l’aide de l’agent Log Analytics pour Linux (anciennement appelé agent OMS).You can stream events from Linux-based, Syslog-supporting machines or appliances into Azure Sentinel, using the Log Analytics agent for Linux (formerly known as the OMS agent). Vous pouvez effectuer cette opération pour toute machine qui vous permet d’installer l’agent Log Analytics directement sur la machine.You can do this for any machine that allows for you to install the Log Analytics agent directly on the machine. Le démon Syslog natif de la machine collecte les événements locaux des types spécifiés et les transfère localement à l’agent, qui les diffuse en continu dans votre espace de travail Log Analytics.The machine's native Syslog daemon will collect local events of the specified types, and forward them locally to the agent, which will stream them to your Log Analytics workspace.

Notes

  • Si votre appliance prend en charge CEF (Common Event format) plutôt que Syslog, un jeu de données plus complet est collecté et les données sont analysées au niveau de la collection.If your appliance supports Common Event Format (CEF) over Syslog, a more complete data set is collected, and the data is parsed at collection. Vous devez choisir cette option et suivre les instructions fournies dans Connecter votre solution externe à l’aide de CEF.You should choose this option and follow the instructions in Connect your external solution using CEF.

  • Log Analytics prend en charge la collecte de messages envoyés par les démons rsyslog ou syslog-ng, où rsyslog est le démon par défaut.Log Analytics supports collection of messages sent by the rsyslog or syslog-ng daemons, where rsyslog is the default. Le démon Syslog par défaut sur la version 5 de Red Hat Enterprise Linux (RHEL), CentOS et Oracle Linux (sysklog) ne prend pas en charge la collecte des événements Syslog.The default syslog daemon on version 5 of Red Hat Enterprise Linux (RHEL), CentOS, and Oracle Linux version (sysklog) is not supported for syslog event collection. Pour collecter les données syslog avec cette version de ces distributions, le démon rsyslog doit être installé et configuré à la place de sysklog.To collect syslog data from this version of these distributions, the rsyslog daemon should be installed and configured to replace sysklog.

FonctionnementHow it works

Syslog est un protocole de journalisation des événements commun à Linux.Syslog is an event logging protocol that is common to Linux. Lorsque l’agent Log Analytics pour Linux est installé sur votre machine virtuelle ou appliance, la routine d’installation configure le démon Syslog local pour qu’il transfère des messages à l’agent sur le port TCP 25224.When the Log Analytics agent for Linux is installed on your VM or appliance, the installation routine configures the local Syslog daemon to forward messages to the agent on TCP port 25224. L’agent envoie ensuite le message à votre espace de travail Log Analytics via le protocole HTTPS, où il est analysé dans une entrée du journal des événements dans la table Syslog dans Azure Sentinel > Journaux.The agent then sends the message to your Log Analytics workspace over HTTPS, where it is parsed into an event log entry in the Syslog table in Azure Sentinel > Logs.

Pour en savoir plus, voir Sources de données Syslog dans Azure Monitor.For more information, see Syslog data sources in Azure Monitor.

Configurer la collecte SyslogConfigure Syslog collection

Configurer votre machine ou appliance LinuxConfigure your Linux machine or appliance

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données, puis le connecteur Syslog.In Azure Sentinel, select Data connectors and then select the Syslog connector.

  2. Dans le panneau Syslog, sélectionnez Ouvrir la page du connecteur.On the Syslog blade, select Open connector page.

  3. Installez l’agent Linux.Install the Linux agent. Sous Choisissez l’emplacement d’installation de l’agent :Under Choose where to install the agent:

    Pour une machine virtuelle Linux Azure :For an Azure Linux VM:

    1. Sélectionnez Installer l’agent sur une machine virtuelle Linux Azure.Select Install agent on Azure Linux virtual machine.

    2. Cliquez sur le lien Télécharger et installer l’agent pour les machines virtuelles Linux Azure > .Click the Download & install agent for Azure Linux Virtual machines > link.

    3. Dans le panneau Machines virtuelles, sélectionnez la machine virtuelle sur laquelle installer l’agent, puis cliquez sur Connecter.In the Virtual machines blade, click a virtual machine to install the agent on, and then click Connect. Répétez cette étape pour chaque machine virtuelle à laquelle vous souhaitez vous connecter.Repeat this step for each VM you wish to connect.

    Pour toute autre machine Linux :For any other Linux machine:

    1. Sélectionnez Installer l’agent sur une machine Linux non-Azure.Select Install agent on a non-Azure Linux Machine

    2. Cliquez sur le lien Télécharger et installer l’agent pour les machines Linux non-Azure > .Click the Download & install agent for non-Azure Linux machines > link.

    3. Dans le panneau Gestion des agents, cliquez sur l’onglet Serveurs Linux, puis copiez la commande pour Télécharger et intégrer l’agent pour Linux et exécutez-la sur votre machine Linux.In the Agents management blade, click the Linux servers tab, then copy the command for Download and onboard agent for Linux and run it on your Linux machine.

    Notes

    Veillez à configurer les paramètres de sécurité pour ces ordinateurs conformément à la stratégie de sécurité de votre organisation.Make sure you configure security settings for these computers according to your organization's security policy. Par exemple, vous pouvez configurer les paramètres réseau de sorte qu’ils soient conformes à la stratégie de sécurité réseau de votre organisation, puis modifier les ports et les protocoles dans le démon pour les adapter aux exigences de sécurité.For example, you can configure the network settings to align with your organization's network security policy, and change the ports and protocols in the daemon to align with the security requirements.

Configurer l’agent Log AnalyticsConfigure the Log Analytics agent

  1. En bas du panneau du connecteur Syslog, cliquez sur le lien Ouvrir la configuration des paramètres avancés de votre espace de travail > .At the bottom of the Syslog connector blade, click the Open your workspace advanced settings configuration > link.

  2. Dans le panneau Paramètres avancés, sélectionnez Données > Syslog.On the Advanced settings blade, select Data > Syslog. Ajoutez ensuite les installations du connecteur à collecter.Then add the facilities for the connector to collect.

    • Ajoutez les installations que votre appliance Syslog inclut dans ses en-têtes de journal.Add the facilities that your syslog appliance includes in its log headers.

    • Si vous souhaitez utiliser la détection de connexion SSH anormale avec les données que vous collectez, ajoutez auth et authpriv.If you want to use anomalous SSH login detection with the data that you collect, add auth and authpriv. Pour plus de détails, voir la section suivante.See the following section for additional details.

  3. Après avoir ajouté toutes les installations à surveiller et ajusté les options de gravité pour chacune d’elles, activez la case à cocher Appliquer la configuration ci-dessous à mes machines.When you have added all the facilities that you want to monitor, and adjusted any severity options for each one, select the checkbox Apply below configuration to my machines.

  4. Sélectionnez Enregistrer.Select Save.

  5. Sur votre machine virtuelle ou appliance, assurez-vous d’envoyer les fonctionnalités que vous avez spécifiées.On your VM or appliance, make sure you're sending the facilities that you specified.

  6. Pour interroger les données du journal Syslog dans Journaux, entrez Syslog dans la fenêtre de requête.To query the syslog log data in Logs, type Syslog in the query window.

  7. Vous pouvez utiliser les paramètres de requête décrits dans Utilisation de fonctions dans les requêtes de journal Azure Monitor pour analyser vos messages Syslog.You can use the query parameters described in Using functions in Azure Monitor log queries to parse your Syslog messages. Vous pouvez ensuite enregistrer la requête sous la forme d’une nouvelle fonction de Log Analytics et l’utiliser comme nouveau type de données.You can then save the query as a new Log Analytics function and use it as a new data type.

Notes

Vous pouvez utiliser votre machine de transfert de journaux CEF existant pour collecter et transférer des journaux à partir de sources Syslog ordinaires également.You can use your existing CEF log forwarder machine to collect and forward logs from plain Syslog sources as well. Toutefois, vous devez effectuer les étapes suivantes pour éviter d’envoyer des événements dans les deux formats à Azure Sentinel, car cela entraînera une duplication des événements.However, you must perform the following steps to avoid sending events in both formats to Azure Sentinel, as that will result in duplication of events.

Si vous avez déjà configuré la collecte de données à partir de vos sources CEF et que vous avez configuré l’agent Log Analytics comme indiqué ci-dessus :Having already set up data collection from your CEF sources, and having configured the Log Analytics agent as above:

  1. Sur chaque machine qui envoie des journaux au format CEF, vous devez modifier le fichier config Syslog pour supprimer les fonctionnalités utilisées pour envoyer des messages CEF.On each machine that sends logs in CEF format, you must edit the Syslog configuration file to remove the facilities that are being used to send CEF messages. De cette façon, les fonctionnalités envoyées en CEF ne sont pas aussi envoyées au format Syslog.This way, the facilities that are sent in CEF won't also be sent in Syslog. Pour obtenir des instructions détaillées sur la procédure à suivre, consultez Configurer Syslog sur l’agent Linux.See Configure Syslog on Linux agent for detailed instructions on how to do this.

  2. Vous devez exécuter la commande suivante sur ces machines pour désactiver la synchronisation de l’agent avec la configuration Syslog dans Azure Sentinel.You must run the following command on those machines to disable the synchronization of the agent with the Syslog configuration in Azure Sentinel. Cela permet de s’assurer que la modification de configuration que vous avez apportée à l’étape précédente n’est pas remplacée.This ensures that the configuration change you made in the previous step does not get overwritten.
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Configurer le connecteur Syslog pour la détection de connexion SSH anormaleConfigure the Syslog connector for anomalous SSH login detection

Important

La détection de connexion SSH anormale est actuellement en préversion publique.Anomalous SSH login detection is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel peut appliquer du Machine Learning aux données Syslog pour identifier une activité de connexion SSH (Secure Shell) anormale.Azure Sentinel can apply machine learning (ML) to the syslog data to identify anomalous Secure Shell (SSH) login activity. Il s’agit entre autres des scénarios suivants :Scenarios include:

  • Voyage impossible : lorsque deux événements de connexion réussis se produisent à partir de deux emplacements où il est impossible de se trouver dans l’intervalle de temps des deux événements de connexion.Impossible travel – when two successful login events occur from two locations that are impossible to reach within the timeframe of the two login events.
  • Emplacement inattendu : l’emplacement à partir duquel un événement de connexion réussi s’est produit est suspect.Unexpected location – the location from where a successful login event occurred is suspicious. Par exemple, l’emplacement n’a pas été observé récemment.For example, the location has not been seen recently.

Cette détection nécessite une configuration spécifique du connecteur de données Syslog :This detection requires a specific configuration of the Syslog data connector:

  1. Pour l’étape 5 de la procédure précédente, assurez- vous que auth et authpriv sont sélectionnés en tant qu’installations à surveiller.For step 5 in the previous procedure, make sure that both auth and authpriv are selected as facilities to monitor. Conservez les paramètres par défaut pour les options de gravité, afin qu’elles soient toutes sélectionnées.Keep the default settings for the severity options, so that they are all selected. Par exemple :For example:

    Installations requises pour la détection de connexion SSH anormaleFacilities required for anomalous SSH login detection

  2. Laissez suffisamment de temps pour la collecte des informations Syslog.Allow sufficient time for syslog information to be collected. Ensuite, accédez à Azure Sentinel - Logs, puis copiez et collez la requête suivante :Then, navigate to Azure Sentinel - Logs, and copy and paste the following query:

    Syslog |  where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count 
    

    Modifiez l’Intervalle de temps si nécessaire, puis sélectionnez Exécuter.Change the Time range if required, and select Run.

    Si le résultat obtenu est égal à zéro, vérifiez la configuration du connecteur et que les ordinateurs analysés ont une activité de connexion réussie pour la période que vous avez spécifiée pour votre requête.If the resulting count is zero, confirm the configuration of the connector and that the monitored computers do have successful login activity for the time period you specified for your query.

    Si le résultat est supérieur à zéro, vos données Syslog sont adaptées à la détection de connexion SSH anormale.If the resulting count is greater than zero, your syslog data is suitable for anomalous SSH login detection. Vous activez cette détection à partir de Analytique > Modèles de règle > Détection de connexion SSH anormale (préversion) .You enable this detection from Analytics > Rule templates > (Preview) Anomalous SSH Login Detection.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances locales Syslog à Azure Sentinel.In this document, you learned how to connect Syslog on-premises appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: