Adatok gyűjtése egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel

Számos alkalmazás naplózza az adatokat szöveges fájlokba a szokásos naplózási szolgáltatások, például a Windows eseménynapló vagy a Syslog helyett. A Log Analytics-ügynökkel nem szabványos formátumú szövegfájlokban gyűjthet adatokat Windows és Linux rendszerű számítógépekről. A begyűjtést követően elemezheti az adatokat a lekérdezések egyes mezőibe, vagy kinyerheti az adatokat az egyes mezőkbe történő adatgyűjtés során.

Ez a cikk azt ismerteti, hogyan csatlakoztathatja adatforrásait a Microsoft Sentinelhez egyéni naplóformátumok használatával. Az ezt a módszert használó támogatott adatösszekötőkről további információt az Adatösszekötők hivatkozásában talál.

Fontos

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. További információ: AMA migrálása a Microsoft Sentinelhez.

Az egyéni naplókról az Azure Monitor dokumentációjában tudhat meg mindent.

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

A Log Analytics-ügynök telepítése

Telepítse a Log Analytics-ügynököt a naplókat létrehozó Linux- vagy Windows-gépen.

Egyes gyártók azt javasolják, hogy a Log Analytics-ügynököt ne közvetlenül az eszközön, hanem egy külön naplókiszolgálóra telepítse. Tekintse meg a termék adatösszekötők referenciaoldalán található szakaszát vagy a termék saját dokumentációját.

Válassza az alábbi megfelelő lapot attól függően, hogy az összekötő része-e a Microsoft Sentinel tartalomközpontjában felsorolt megoldásnak.

Egy adott adatösszekötő oldaláról

Mielőtt hozzákezdene, telepítse a termék megoldását a Microsoft Sentinel Content Hubjáról . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése. Ha a termék adatösszekötője elérhetővé válik, folytassa az alábbi lépésekkel.

1. A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.

2. Keresse meg és válassza ki a megfelelő termékadat-összekötőt.

3. Válassza az Összekötő megnyitása lap lehetőséget.

4. Telepítse és helyezze üzembe az ügynököt a naplókat létrehozó eszközön. Válassza a Linuxot vagy a Windowst a megfelelő módon.

   Gép típusa	Utasítások
   Azure Linux rendszerű virtuális gép esetén	A Linux-ügynök telepítésének helye területen bontsa ki az Ügynök telepítése az Azure Linux rendszerű virtuális gépen lehetőséget. Válassza ki az Azure Linux rendszerű virtuális gépek > letöltési és telepítési ügynökét. A Virtuális gépek panelen válasszon ki egy virtuális gépet, amelyen telepíteni szeretné az ügynököt, majd válassza a Csatlakozás. Ismételje meg ezt a lépést minden csatlakoztatni kívánt virtuális gép esetében.
   Bármely más Linux rendszerű gép esetén	A Linux-ügynök telepítésének helye területen bontsa ki az Ügynök telepítése nem Azure-beli Linux-gépen lehetőséget. Válassza a Nem Azure Linux rendszerű gépek > letöltési és telepítési ügynökét. Az Ügynökök kezelése panelen válassza a Linux-kiszolgálók lapot, majd másolja ki a Linux letöltési és előkészítési ügynök parancsát, és futtassa a Linux-gépen. Ha meg szeretné őrizni a Linux-ügynök telepítési fájljának helyi példányát, válassza a Linux-ügynök letöltése hivatkozást a "Letöltés és előkészítési ügynök" parancs felett.
   Azure Windows rendszerű virtuális gép esetén	A Windows-ügynök telepítésének helye területen bontsa ki az Ügynök telepítése az Azure Windows rendszerű virtuális gépen lehetőséget. Válassza ki az Azure Windows rendszerű virtuális gépek > letöltési és telepítési ügynökét. A Virtuális gépek panelen válasszon ki egy virtuális gépet, amelyen telepíteni szeretné az ügynököt, majd válassza a Csatlakozás. Ismételje meg ezt a lépést minden csatlakoztatni kívánt virtuális gép esetében.
   Bármely más Windows rendszerű gép esetén	A Windows-ügynök telepítésének helye területen bontsa ki az Ügynök telepítése nem Azure-beli Windows-gépen lehetőséget Válassza a Nem Azure-beli Windows rendszerű gépek > letöltési és telepítési ügynökét. Az Ügynökök kezelése panelEn, a Windows-kiszolgálók lapon válassza a Windows-ügynök letöltése hivatkozást a 32 bites vagy a 64 bites rendszerekhez, ha szükséges.

Egyéb adatforrások

1. A Microsoft Sentinel navigációs menüjében válassza a Gépház, majd a Munkaterület beállításai lapot.

2. Telepítse és helyezze üzembe az ügynököt a naplókat létrehozó eszközön. Válassza a Linuxot vagy a Windowst a megfelelő módon.

   Gép típusa	Utasítások
   Azure-beli virtuális gép (Windows vagy Linux)	A Log Analytics-munkaterület navigációs menüjében válassza a Virtuális gépek lehetőséget. A Virtuális gépek panelen válasszon ki egy virtuális gépet, amelyen telepíteni szeretné az ügynököt, majd válassza a Csatlakozás. Ismételje meg ezt a lépést minden csatlakoztatni kívánt virtuális gép esetében.
   Bármely más Windows vagy Linux rendszerű gép	A Log Analytics-munkaterület navigációs menüjében válassza az Ügynökök kezelése lehetőséget. Szükség szerint válassza a Windows-kiszolgálók vagy a Linux-kiszolgálók lapot. Windows esetén válassza a Windows-ügynök letöltése hivatkozást a 32 bites vagy a 64 bites rendszerekhez, ha szükséges. Linux esetén másolja a Linux Letöltés és előkészítési ügynök parancsát, és futtassa a parancssorból, vagy a Linux-ügynök letöltése hivatkozásra kattintva töltse le a telepítési fájl helyi példányát.

A gyűjtendő naplók konfigurálása

Számos eszköztípus saját adatösszekötőkkel rendelkezik a Microsoft Sentinel Adatösszekötők lapján. Ezen összekötők némelyike speciális további útmutatást igényel a naplógyűjtés Microsoft Sentinelben való megfelelő beállításához. Ezek az utasítások magukban foglalhatják egy Kusto-függvényen alapuló elemző implementálását.

A Microsoft Sentinelben felsorolt összekötők a portálon, valamint a Microsoft Sentinel adatösszekötők referenciaoldalának szakaszaiban minden konkrét utasítást megjelenítenek a megfelelő összekötők oldalán.

Ha a termék nem rendelkezik a Content Hubban felsorolt adatösszekötővel rendelkező megoldással, az eszköz naplózásának konfigurálásával kapcsolatos utasításokért tekintse meg a gyártó dokumentációját.

A Log Analytics-ügynök konfigurálása

1. Az összekötő lapon válassza a Munkaterület egyéni naplók konfigurációs hivatkozásának megnyitása lehetőséget.

   Vagy a Log Analytics-munkaterület navigációs menüjében válassza az Egyéni naplók lehetőséget.

2. Az Egyéni táblák lapon válassza az Egyéni napló hozzáadása lehetőséget.

3. A Minta lapon töltsön fel egy naplófájlmintát az eszközéről (például access.log vagy error.log). Ezután válassza a Tovább gombot.

4. A Rekordelválasztó lapon jelöljön ki egy rekordelválasztót, legyen az Új sor vagy az Időbélyeg (lásd az adott lapon található utasításokat), majd válassza a Tovább lehetőséget.

5. A Gyűjtemény elérési útja lapján válassza ki a Windows vagy a Linux elérési útját, és adja meg az eszköz naplóinak elérési útját a konfiguráció alapján. Ezután válassza a Tovább gombot.

6. Adjon nevet az egyéni naplónak, és szükség esetén adjon leírást, és válassza a Tovább gombot.
   Ne fejezze be a nevét a "_CL" kifejezéssel, mert az automatikusan hozzá lesz fűzve.

Az adatok megkeresése

Az egyéni naplóadatok naplókban való lekérdezéséhez írja be az egyéni napló nevét (a lekérdezési ablakban "_CL" végződéssel).

További lépések

Ebben a dokumentumban megtanulta, hogyan gyűjthet adatokat az egyéni naplótípusokból a Microsoft Sentinelbe való betöltéshez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Munkafüzetek használatával monitorozza az adatokat.