Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics

Molte applicazioni registrano dati in file di testo anziché servizi di registrazione standard, ad esempio registro eventi di Windows o Syslog. È possibile usare l'agente di Log Analytics per raccogliere dati in file di testo di formati non standard da computer Windows e Linux. Al termine della raccolta, è possibile analizzare i dati nei singoli campi nelle query o estrarli durante la raccolta in singoli campi.

Questo articolo descrive come connettere le origini dati a Microsoft Sentinel usando formati di log personalizzati. Per altre informazioni sui connettori dati supportati che usano questo metodo, vedere Informazioni di riferimento sui connettori dati.

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione all'ama. Per altre informazioni, vedere Migrazione ama per Microsoft Sentinel.

Informazioni sui log personalizzati nella documentazione di Monitoraggio di Azure.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Installare l'agente di Log Analytics

Installare l'agente di Log Analytics nel computer Linux o Windows che genererà i log.

Alcuni fornitori consigliano di installare l'agente di Log Analytics in un server di log separato anziché direttamente nel dispositivo. Consultare la sezione del prodotto nella pagina di riferimento Connettori dati o nella documentazione del prodotto.

Selezionare la scheda appropriata di seguito, a seconda che il connettore faccia parte della soluzione elencata nell'hub del contenuto di Microsoft Sentinel o meno.

Da una pagina specifica del connettore dati

Prima di iniziare, installare la soluzione per il prodotto dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel. Dopo aver reso disponibile il connettore dati per il prodotto, continuare con la procedura seguente.

1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

2. Cercare e selezionare il connettore dati del prodotto appropriato.

3. Selezionare Apri la pagina del connettore.

4. Installare ed eseguire l'onboarding dell'agente nel dispositivo che genera i log. Scegliere Linux o Windows in base alle esigenze.

   Tipo di computer	Istruzioni
   Per una macchina virtuale Linux di Azure	In Scegliere dove installare l'agente Linux espandere Installa agente nella macchina virtuale Linux di Azure. Selezionare il collegamento Scarica e installa agente per macchine > virtuali Linux di Azure. Nel pannello Macchine virtuali selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connessione. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
   Per qualsiasi altro computer Linux	In Scegliere dove installare l'agente Linux espandere Installa agente in un computer Linux non Azure. Selezionare il collegamento Download &install agent for non Azure Linux machines (Scarica e installa agente per computer > Linux non Azure). Nel pannello Gestione agenti selezionare la scheda Server Linux, quindi copiare il comando per Scaricare ed eseguire l'agente per Linux ed eseguirlo nel computer Linux . Se si vuole mantenere una copia locale del file di installazione dell'agente Linux, selezionare il collegamento Scarica agente Linux sopra il comando "Scarica ed esegui l'onboarding dell'agente".
   Per una macchina virtuale Windows di Azure	In Scegliere dove installare l'agente Windows espandere Installa agente nella macchina virtuale Windows di Azure. Selezionare il collegamento Scarica e installa agente per macchine > virtuali Windows di Azure. Nel pannello Macchine virtuali selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connessione. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
   Per qualsiasi altro computer Windows	In Scegliere dove installare l'agente Windows espandere Installa agente in un computer Windows non Azure Selezionare il collegamento Download &install agent for non Azure Windows machines (Scarica e installa agente per computer > Windows non Azure). Nel pannello Gestione agenti, nella scheda Server Windows selezionare il collegamento Scarica agente Windows per sistemi a 32 bit o a 64 bit, in base alle esigenze.

Altre origini dati

1. Dal menu di spostamento di Microsoft Sentinel selezionare Impostazioni e quindi la scheda Impostazioni area di lavoro.

2. Installare ed eseguire l'onboarding dell'agente nel dispositivo che genera i log. Scegliere Linux o Windows in base alle esigenze.

   Tipo di computer	Istruzioni
   Macchina virtuale di Azure (Windows o Linux)	Dal menu di spostamento dell'area di lavoro Log Analytics selezionare Macchine virtuali. Nel pannello Macchine virtuali selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connessione. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
   Qualsiasi altro computer Windows o Linux	Dal menu di spostamento dell'area di lavoro Log Analytics selezionare Gestione agenti. Selezionare la scheda Server Windows o Server Linux in base alle esigenze. Per Windows, selezionare il collegamento Scarica agente Windows per sistemi a 32 bit o a 64 bit, in base alle esigenze. Per Linux, copiare il comando per Scaricare ed eseguire l'agente per Linux ed eseguirlo dalla riga di comando oppure selezionare il collegamento Scarica agente Linux per scaricare una copia locale del file di installazione.

Configurare i log da raccogliere

Molti tipi di dispositivo hanno connettori dati personalizzati visualizzati nella pagina Connettori dati in Microsoft Sentinel. Alcuni di questi connettori richiedono istruzioni aggiuntive speciali per configurare correttamente la raccolta dei log in Microsoft Sentinel. Queste istruzioni possono includere l'implementazione di un parser basato su una funzione Kusto.

Tutti i connettori elencati in Microsoft Sentinel visualizzeranno istruzioni specifiche sulle rispettive pagine del connettore nel portale, nonché nelle relative sezioni della pagina di riferimento dei connettori dati di Microsoft Sentinel.

Se il prodotto non ha una soluzione con un connettore dati elencato nell'hub contenuto, consultare la documentazione del fornitore per istruzioni sulla configurazione della registrazione per il dispositivo.

Configurare l'agente di Log Analytics

1. Nella pagina del connettore selezionare il collegamento Apri configurazione log personalizzati dell'area di lavoro.

   In alternativa, dal menu di spostamento dell'area di lavoro Log Analytics selezionare Log personalizzati.

2. Nella scheda Tabelle personalizzate selezionare Aggiungi log personalizzato.

3. Nella scheda Esempio caricare un esempio di file di log dal dispositivo, ad esempio access.log o error.log. Quindi seleziona Avanti.

4. Nella scheda Delimitatore record selezionare un delimitatore di record, nuova riga o timestamp (vedere le istruzioni in tale scheda) e selezionare Avanti.

5. Nella scheda Percorsi di raccolta selezionare un tipo di percorso di Windows o Linux e immettere il percorso dei log del dispositivo in base alla configurazione. Quindi seleziona Avanti.

6. Assegnare un nome al log personalizzato e facoltativamente una descrizione e selezionare Avanti.
   Non terminare il nome con "_CL", perché verrà aggiunto automaticamente.

Trovare i dati

Per eseguire una query sui dati di log personalizzati in Log, digitare il nome assegnato al log personalizzato (che termina con "_CL") nella finestra di query.

Passaggi successivi

In questo documento si è appreso come raccogliere dati dai tipi di log personalizzati da inserire in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.