Collecter des données de sources Linux à l’aide de Syslog

Vous pouvez diffuser des événements en continu à partir de machines ou d’appliances Linux prenant en charge Syslog, à l’aide de l’agent Log Analytics pour Linux (anciennement appelé agent OMS). Vous pouvez effectuer cette opération pour toute machine qui vous permet d’installer l’agent Log Analytics directement sur la machine. Le démon Syslog natif de la machine collecte les événements locaux des types spécifiés et les transfère localement à l’agent, qui les diffuse en continu dans votre espace de travail Log Analytics.

Notes

  • Si votre appliance prend en charge CEF (Common Event format) plutôt que Syslog, un jeu de données plus complet est collecté et les données sont analysées au niveau de la collection. Vous devez choisir cette option et suivre les instructions fournies dans Connecter votre solution externe à l’aide de CEF.

  • Log Analytics prend en charge la collecte de messages envoyés par les démons rsyslog ou syslog-ng, où rsyslog est le démon par défaut. Le démon Syslog par défaut sur la version 5 de Red Hat Enterprise Linux (RHEL), CentOS et Oracle Linux (sysklog) ne prend pas en charge la collecte des événements Syslog. Pour collecter les données syslog avec cette version de ces distributions, le démon rsyslog doit être installé et configuré à la place de sysklog.

Fonctionnement

Syslog est un protocole de journalisation des événements commun à Linux. Lorsque l’agent Log Analytics pour Linux est installé sur votre machine virtuelle ou appliance, la routine d’installation configure le démon Syslog local pour qu’il transfère des messages à l’agent sur le port TCP 25224. L’agent envoie ensuite le message à votre espace de travail Log Analytics via le protocole HTTPS, où il est analysé dans une entrée du journal des événements dans la table Syslog dans Azure Sentinel > Journaux.

Pour en savoir plus, voir Sources de données Syslog dans Azure Monitor.

Configurer la collecte Syslog

Configurer votre machine ou appliance Linux

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données, puis le connecteur Syslog.

  2. Dans le panneau Syslog, sélectionnez Ouvrir la page du connecteur.

  3. Installez l’agent Linux. Sous Choisissez l’emplacement d’installation de l’agent :

    Pour une machine virtuelle Linux Azure :

    1. Sélectionnez Installer l’agent sur une machine virtuelle Linux Azure.

    2. Cliquez sur le lien Télécharger et installer l’agent pour les machines virtuelles Linux Azure > .

    3. Dans le panneau Machines virtuelles, sélectionnez la machine virtuelle sur laquelle installer l’agent, puis cliquez sur Connecter. Répétez cette étape pour chaque machine virtuelle à laquelle vous souhaitez vous connecter.

    Pour toute autre machine Linux :

    1. Sélectionnez Installer l’agent sur une machine Linux non-Azure.

    2. Cliquez sur le lien Télécharger et installer l’agent pour les machines Linux non-Azure > .

    3. Dans le panneau Gestion des agents, cliquez sur l’onglet Serveurs Linux, puis copiez la commande pour Télécharger et intégrer l’agent pour Linux et exécutez-la sur votre machine Linux.

    Notes

    Veillez à configurer les paramètres de sécurité pour ces ordinateurs conformément à la stratégie de sécurité de votre organisation. Par exemple, vous pouvez configurer les paramètres réseau de sorte qu’ils soient conformes à la stratégie de sécurité réseau de votre organisation, puis modifier les ports et les protocoles dans le démon pour les adapter aux exigences de sécurité.

Configurer l’agent Log Analytics

  1. En bas du panneau du connecteur Syslog, cliquez sur le lien Open your workspace agents configuration > (Ouvrir la configuration des agents de votre espace de travail).

  2. Dans le panneau Agents configuration (Configuration des agents), sélectionnez l’onglet Syslog. Ajoutez ensuite les installations du connecteur à collecter. Sélectionnez Add facility (Ajouter une installation), puis choisissez une installation dans la liste déroulante.

    • Ajoutez les installations que votre appliance Syslog inclut dans ses en-têtes de journal.

    • Si vous souhaitez utiliser la détection de connexion SSH anormale avec les données que vous collectez, ajoutez auth et authpriv. Pour plus de détails, voir la section suivante.

  3. Une fois que vous avez ajouté toutes les installations que vous souhaitez superviser, vérifiez que toutes les cases des gravités souhaitées sont cochées.

  4. Sélectionnez Appliquer.

  5. Sur votre machine virtuelle ou appliance, assurez-vous d’envoyer les fonctionnalités que vous avez spécifiées.

  6. Pour interroger les données du journal Syslog dans Journaux, entrez Syslog dans la fenêtre de requête.

  7. Vous pouvez utiliser les paramètres de requête décrits dans Utilisation de fonctions dans les requêtes de journal Azure Monitor pour analyser vos messages Syslog. Vous pouvez ensuite enregistrer la requête sous la forme d’une nouvelle fonction de Log Analytics et l’utiliser comme nouveau type de données.

Notes

Utilisation du même ordinateur pour transférer à la fois des messages Syslog et des messages CEF

Vous pouvez utiliser votre machine de transfert de journaux CEF existant pour collecter et transférer des journaux à partir de sources Syslog ordinaires également. Toutefois, vous devez effectuer les étapes suivantes pour éviter d’envoyer des événements dans les deux formats à Azure Sentinel, car cela entraînera une duplication des événements.

Si vous avez déjà configuré la collecte de données à partir de vos sources CEF et que vous avez configuré l’agent Log Analytics comme indiqué ci-dessus :

  1. Sur chaque machine qui envoie des journaux au format CEF, vous devez modifier le fichier config Syslog pour supprimer les fonctionnalités utilisées pour envoyer des messages CEF. De cette façon, les fonctionnalités envoyées en CEF ne sont pas aussi envoyées au format Syslog. Pour obtenir des instructions détaillées sur la procédure à suivre, consultez Configurer Syslog sur l’agent Linux.

  2. Vous devez exécuter la commande suivante sur ces machines pour désactiver la synchronisation de l’agent avec la configuration Syslog dans Azure Sentinel. Cela permet de s’assurer que la modification de configuration que vous avez apportée à l’étape précédente n’est pas remplacée.
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Configurer le connecteur Syslog pour la détection de connexion SSH anormale

Important

La détection de connexion SSH anormale est actuellement en préversion publique. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Azure Sentinel peut appliquer du Machine Learning aux données Syslog pour identifier une activité de connexion SSH (Secure Shell) anormale. Il s’agit entre autres des scénarios suivants :

  • Voyage impossible : lorsque deux événements de connexion réussis se produisent à partir de deux emplacements où il est impossible de se trouver dans l’intervalle de temps des deux événements de connexion.
  • Emplacement inattendu : l’emplacement à partir duquel un événement de connexion réussi s’est produit est suspect. Par exemple, l’emplacement n’a pas été observé récemment.

Cette détection nécessite une configuration spécifique du connecteur de données Syslog :

  1. Pour l’étape 2 de la section Configurer l’agent Log Analytics ci-dessus, vérifiez que auth et authpriv sont sélectionnés en tant qu’installations à superviser, et que toutes les gravités sont sélectionnées.

  2. Laissez suffisamment de temps pour la collecte des informations Syslog. Ensuite, accédez à Azure Sentinel - Logs, puis copiez et collez la requête suivante :

    Syslog
    | where Facility in ("authpriv","auth")
    | extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
    | where isnotempty(c)
    | count 
    

    Modifiez l’Intervalle de temps si nécessaire, puis sélectionnez Exécuter.

    Si le résultat obtenu est égal à zéro, vérifiez la configuration du connecteur et que les ordinateurs analysés ont une activité de connexion réussie pour la période que vous avez spécifiée pour votre requête.

    Si le résultat est supérieur à zéro, vos données Syslog sont adaptées à la détection de connexion SSH anormale. Vous activez cette détection à partir de Analytique > Modèles de règle > Détection de connexion SSH anormale (préversion) .

Étapes suivantes

Dans ce document, vous avez appris à connecter les appliances locales Syslog à Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :