Úvod
Data protokolu Syslog odešlete do pracovního prostoru Služby Microsoft Sentinel pomocí pravidla shromažďování dat agenta služby Azure Monitor (DCR).
Pracujete ve společnosti, která implementovala Microsoft Sentinel. Potřebujete shromažďovat data protokolů z místních síťových zařízení. Data síťových zařízení jsou poskytována v nestrukturovaném formátu.
K odesílání dat protokolu nainstalujete místního hostitele s Linuxem, který se používá jako předávací nástroj. Dále postupujte podle pokynů k instalaci agenta Azure Připojení ed Machine, který vám umožní spravovat počítače s Linuxem (Windows a) hostované mimo Azure ve vaší podnikové síti pomocí Azure Arc. Jakmile ověříte připojení Azure Arc, můžete nainstalovat rozšíření agenta Azure Monitor pro Linux a během tohoto procesu vytvořit pravidlo shromažďování dat Syslog služby Azure Monitor. Posledním krokem je konfigurace síťových zařízení tak, aby předávala protokoly hostiteli s Linuxem.
Síťová zařízení teď odesílají protokoly novému hostiteli s Linuxem a hostitel Linuxu pak protokoly předává do pracovního prostoru Služby Microsoft Sentinel prostřednictvím pravidla shromažďování dat agenta služby Azure Monitor. V Microsoft Sentinelu vytvoříte analyzátor pomocí funkce KQL, která týmu operací zabezpečení usnadní dotazování záznamů protokolu obsahujících nestrukturovaná řetězcová data.
Po dokončení tohoto modulu budete umět:
- Popis pravidla shromažďování dat agenta Služby Azure Monitor (DCR) pro Syslog
- Instalace a konfigurace rozšíření agenta Azure Monitor pro Linux pomocí nástroje Syslog DCR
- Spuštění skriptů nasazení a připojení Azure Arc v Linuxu
- Ověření dostupnosti dat protokolu Syslog v Microsoft Sentinelu
- Vytvoření analyzátoru pomocí KQL v Microsoft Sentinelu
Požadavky
- Základní znalost provozních konceptů, jako je monitorování, protokolování a upozorňování
- Znalost operací a monitorování Linuxu