AMA 데이터 커넥터를 통해 사용자 지정 로그 - 특정 애플리케이션에서 Microsoft Sentinel로 데이터 수집 구성
AMA 데이터 커넥터를 통한 Microsoft Sentinel의 사용자 지정 로그는 여러 네트워크 및 보안 애플리케이션 및 디바이스의 텍스트 파일에서 로그 컬렉션을 지원합니다.
이 문서에서는 이 데이터 커넥터를 구성할 때 제공해야 하는 각 특정 보안 애플리케이션에 고유한 구성 정보를 제공합니다. 이 정보는 애플리케이션 공급자가 제공합니다. 업데이트, 자세한 정보 또는 보안 애플리케이션에 대한 정보를 사용할 수 없는 경우 공급자에게 문의하세요. 커넥터 를 설치하고 구성하는 전체 지침은 Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집 및 Microsoft Sentinel로 수집을 참조하지만 각 애플리케이션에 제공할 고유한 정보는 이 문서를 다시 참조하세요.
이 문서에서는 커넥터를 사용하지 않고 이러한 애플리케이션에서 Microsoft Sentinel 작업 영역으로 데이터를 수집하는 방법도 보여 줍니다. 이러한 단계에는 Azure Monitor 에이전트 설치가 포함 됩니다. 커넥터가 설치되면 이 문서의 뒷부분에 나와 있는 애플리케이션에 적절한 지침을 사용하여 설치를 완료합니다.
사용자 지정 텍스트 로그를 수집하는 디바이스는 다음 두 가지 범주로 구분됩니다.
Windows 또는 Linux 컴퓨터에 설치된 애플리케이션
애플리케이션은 설치된 컴퓨터에 로그 파일을 저장합니다. 이러한 로그를 수집하기 위해 Azure Monitor 에이전트가 이 동일한 컴퓨터에 설치됩니다.
닫힌(일반적으로 Linux 기반) 디바이스에 자체 포함된 어플라이언스
이러한 어플라이언스는 로그를 외부 syslog 서버에 저장합니다. 이러한 로그를 수집하기 위해 이 외부 syslog 서버에 설치된 Azure Monitor 에이전트를 로그 전달자라고도 합니다.
이러한 각 애플리케이션에 대한 관련 Microsoft Sentinel 솔루션에 대한 자세한 내용은 Azure Marketplace에서 제품 유형>솔루션 템플릿을 검색하거나 Microsoft Sentinel의 콘텐츠 허브에서 솔루션을 검토하세요.
Important
AMA를 통한 사용자 지정 로그 데이터 커넥터는 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
-
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
일반 지침
애플리케이션 및 어플라이언스를 호스팅하는 컴퓨터에서 로그를 수집하는 단계는 일반적인 패턴을 따릅니다.
Log Analytics(또는 Defender 포털에 있는 경우 고급 헌팅)에서 대상 테이블을 만듭니다.
애플리케이션 또는 어플라이언스용 DCR(데이터 수집 규칙)을 만듭니다.
Azure Monitor 에이전트를 애플리케이션을 호스팅하는 컴퓨터 또는 어플라이언스에서 로그를 수집하는 외부 서버(로그 전달자)에 배포합니다(아직 배포되지 않은 경우).
애플리케이션에 대한 로깅을 구성합니다. 어플라이언스의 경우 Azure Monitor 에이전트가 설치된 외부 서버(로그 전달자)로 로그를 보내도록 구성합니다.
이러한 일반적인 단계(마지막 단계 제외)는 AMA 데이터 커넥터를 통해 사용자 지정 로그를 사용할 때 자동화되며, Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집 및 Microsoft Sentinel로 수집에 자세히 설명되어 있습니다.
애플리케이션 유형별 특정 지침
이러한 단계를 완료하는 데 필요한 애플리케이션별 정보는 이 문서의 나머지 부분에 제공됩니다. 이러한 애플리케이션 중 일부는 자체 포함 어플라이언스에 있으며 로그 전달자 사용부터 시작하여 다른 유형의 구성이 필요합니다.
각 애플리케이션 섹션에는 다음 정보가 포함되어 있습니다.
- 사용하는 경우 AMA 데이터 커넥터를 통해 사용자 지정 로그의 구성에 제공할 고유 매개 변수입니다.
- 커넥터를 사용하지 않고 데이터를 수동으로 수집하는 데 필요한 절차의 개요입니다. 이 절차의 자세한 내용은 Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집 및 Microsoft Sentinel로 수집을 참조하세요.
- 원래 애플리케이션 또는 디바이스 자체를 구성하기 위한 특정 지침 및/또는 공급자의 웹 사이트에 대한 지침에 대한 링크입니다. 커넥터 사용 여부에 관계없이 이러한 단계를 수행해야 합니다.
Apache HTTP 서버
Apache HTTP 서버에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
ApacheHTTPServer_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"C:\Server\bin\log\Apache24\logs\*.log"
- Linux:
"/var/log/httpd/*.log"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Apache Tomcat
Apache Tomcat에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
Tomcat_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Linux:
"/var/log/tomcat/*.log"
- Linux:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Cisco Meraki
Cisco Meraki에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
meraki_CL
로그 스토리지 위치: 외부 syslog 서버에 로그 파일을 만듭니다. 파일에 syslog 디먼 쓰기 권한을 부여합니다. AMA가 아직 설치되지 않은 경우 외부 syslog 서버에 AMA를 설치합니다. 커넥터의 파일 패턴 필드 또는 DCR의
{LOCAL_PATH_FILE}
자리 표시자 대신 이 파일 이름과 경로를 입력합니다.AMA가 수집할 수 있도록 해당 Meraki 로그 메시지를 임시 텍스트 파일로 내보내도록 syslog 디먼을 구성합니다.
rsyslog 디먼에 대한 사용자 지정 구성 파일을 만들고 저장합니다
/etc/rsyslog.d/10-meraki.conf
. 이 구성 파일에 다음 필터링 조건을 추가합니다.if $rawmsg contains "flows" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "urls" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ids-alerts" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "events" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_start" then { action(type="omfile" file="<LOG_FILE_Name>") stop } if $rawmsg contains "ip_flow_end" then { action(type="omfile" file="<LOG_FILE_Name>") stop }
(만든 로그 파일의 이름으로 바꿉
<LOG_FILE_Name>
니다.)rsyslog의 필터링 조건에 대한 자세한 내용은 rsyslog: 필터 조건을 참조하세요. 특정 설치에 따라 구성을 테스트하고 수정하는 것이 좋습니다.
rsyslog를 다시 시작합니다. 일반적인 명령 구문은 .입니다
systemctl restart rsyslog
.
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
열 이름을 열 이름으로
"RawData"
"Message"
바꿉다.transformKql 값을
"source"
값"source | project-rename Message=RawData"
으로 바꿉니다.DCR 템플릿의
{TABLE_NAME}
{LOCAL_PATH_FILE}
자리 표시자와 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Azure Monitor 에이전트가 설치된 컴퓨터를 구성하여 syslog 포트를 열고 외부 원본의 메시지를 수락하도록 syslog 디먼을 구성합니다. 이 구성을 자동화하는 자세한 지침 및 스크립트는 로그를 허용하도록 로그 전달자 구성을 참조 하세요.
Cisco Meraki 디바이스 구성 및 연결: Cisco에서 제공하는 지침에 따라 syslog 메시지를 보냅니다. Azure Monitor 에이전트가 설치된 가상 머신의 IP 주소 또는 호스트 이름을 사용합니다.
JBoss Enterprise Application Platform
JBoss Enterprise Application Platform에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
JBossLogs_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns") - Linux 전용:
- 독립 실행형 서버:
"{EAP_HOME}/standalone/log/server.log"
- 관리되는 도메인:
"{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"
- 독립 실행형 서버:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
JuniperIDP
다음 단계에 따라 JuniperIDP에서 로그 메시지를 수집합니다.
테이블 이름:
JuniperIDP_CL
로그 스토리지 위치: 외부 syslog 서버에 로그 파일을 만듭니다. 파일에 syslog 디먼 쓰기 권한을 부여합니다. AMA가 아직 설치되지 않은 경우 외부 syslog 서버에 AMA를 설치합니다. 커넥터의 파일 패턴 필드 또는 DCR의
{LOCAL_PATH_FILE}
자리 표시자 대신 이 파일 이름과 경로를 입력합니다.Syslog 디먼을 구성하여 AMA가 수집할 수 있도록 JuniperIDP 로그 메시지를 임시 텍스트 파일로 내보냅니다.
다음 필터링 조건을 사용하여 폴더에 rsyslog 디먼에
/etc/rsyslog.d/
대한 사용자 지정 구성 파일을 만듭니다.# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(표시된 개체의 실제 이름으로 바꿉
<parameters>
니다. <> LOG_FILE_NAME 2단계에서 만든 파일입니다.)rsyslog를 다시 시작합니다. 일반적인 명령 구문은 .입니다
systemctl restart rsyslog
.
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
열 이름을 열 이름으로
"RawData"
"Message"
바꿉다.DCR 템플릿의
{TABLE_NAME}
{LOCAL_PATH_FILE}
자리 표시자와 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.transformKql 값을
"source"
다음 Kusto 쿼리(큰따옴표로 묶은 쿼리)로 바꿉니다.source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
다음 스크린샷은 이전 예제의 전체 쿼리를 더 읽기 쉬운 형식으로 보여줍니다.
앞의 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.
KQL에 대한 자세한 내용은 KQL(Kusto 쿼리 언어) 개요를 참조하세요.
기타 리소스:
Azure Monitor 에이전트가 설치된 컴퓨터를 구성하여 syslog 포트를 열고 외부 원본의 메시지를 수락하도록 syslog 디먼을 구성합니다. 이 구성을 자동화하는 자세한 지침 및 스크립트는 로그를 허용하도록 로그 전달자 구성을 참조 하세요.
외부 서버로 syslog 메시지를 보내도록 Juniper IDP 어플라이언스를 구성하는 지침은 SRX 시작 - 시스템 로깅 구성을 참조하세요.
MarkLogic Audit
MarkLogic Audit에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
MarkLogicAudit_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
- Linux:
"/var/opt/MarkLogic/Logs/AuditLog.txt"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
MarkLogic 감사가 로그를 작성할 수 있도록 구성: (MarkLogic 설명서에서)
- 브라우저를 사용하여 MarkLogic 관리자 인터페이스로 이동합니다.
- 그룹 > group_name > 감사에서 감사 구성 화면을 엽니다.
- 감사 사용 라디오 단추를 표시합니다. 사용하도록 설정되어 있는지 확인하세요.
- 원하는 감사 이벤트 및/또는 제한을 구성합니다.
- 확인을 선택하여 유효성을 검사합니다.
- 자세한 내용 및 구성 옵션은 MarkLogic 설명서를 참조하세요.
MongoDB Audit
MongoDB 감사에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
MongoDBAudit_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"C:\data\db\auditlog.json"
- Linux:
"/data/db/auditlog.json"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
로그를 작성하도록 MongoDB를 구성합니다.
- Windows의 경우 구성 파일을
mongod.cfg
편집합니다. Linux의 경우 .mongod.conf
dbpath
매개 변수를data/db
로 설정합니다.path
매개 변수를/data/db/auditlog.json
로 설정합니다.- 자세한 매개 변수 및 세부 정보는 MongoDB 설명서를 참조하세요.
- Windows의 경우 구성 파일을
NGINX HTTP Server
다음 단계에 따라 NGINX HTTP 서버에서 로그 메시지를 수집합니다.
테이블 이름:
NGINX_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Linux:
"/var/log/nginx.log"
- Linux:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Oracle WebLogic Server
다음 단계에 따라 Oracle WebLogic Server에서 로그 메시지를 수집합니다.
테이블 이름:
OracleWebLogicServer_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
- Linux:
"{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
PostgreSQL Events
다음 단계에 따라 PostgreSQL 이벤트에서 로그 메시지를 수집합니다.
테이블 이름:
PostgreSQL_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"C:\*.log"
- Linux:
"/var/log/*.log"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
PostgreSQL 이벤트 구성 파일을
postgresql.conf
편집하여 파일에 로그를 출력합니다.log_destination='stderr'
설정logging_collector=on
설정- 자세한 매개 변수 및 세부 정보는 PostgreSQL 설명서를 참조하세요.
SecurityBridge Threat Detection for SAP
다음 단계에 따라 SAP용 SecurityBridge 위협 검색에서 로그 메시지를 수집합니다.
테이블 이름:
SecurityBridgeLogs_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Linux:
"/usr/sap/tmp/sb_events/*.cef"
- Linux:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
SquidProxy
다음 단계에 따라 SquidProxy에서 로그 메시지를 수집합니다.
테이블 이름:
SquidProxy_CL
로그 스토리지 위치: 로그는 애플리케이션의 호스트 머신에 텍스트 파일로 저장됩니다. 파일을 수집하기 위해 동일한 컴퓨터에 AMA를 설치합니다.
기본 파일 위치("filePatterns"):
- Windows:
"C:\Squid\var\log\squid\*.log"
- Linux:
"/var/log/squid/*.log"
- Windows:
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
DCR 템플릿의 {TABLE_NAME} 및 {LOCAL_PATH_FILE} 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
유비퀴티 유니피
다음 단계에 따라 Ubiquiti UniFi에서 로그 메시지를 수집합니다.
테이블 이름:
Ubiquiti_CL
로그 스토리지 위치: 외부 syslog 서버에 로그 파일을 만듭니다. 파일에 syslog 디먼 쓰기 권한을 부여합니다. AMA가 아직 설치되지 않은 경우 외부 syslog 서버에 AMA를 설치합니다. 커넥터의 파일 패턴 필드 또는 DCR의
{LOCAL_PATH_FILE}
자리 표시자 대신 이 파일 이름과 경로를 입력합니다.AMA에서 수집할 수 있도록 해당 Ubiquiti 로그 메시지를 임시 텍스트 파일로 내보내도록 syslog 디먼을 구성합니다.
다음 필터링 조건을 사용하여 폴더에 rsyslog 디먼에
/etc/rsyslog.d/
대한 사용자 지정 구성 파일을 만듭니다.# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(표시된 개체의 실제 이름으로 바꿉
<parameters>
니다. <> LOG_FILE_NAME 2단계에서 만든 파일입니다.)rsyslog를 다시 시작합니다. 일반적인 명령 구문은 .입니다
systemctl restart rsyslog
.
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
열 이름을 열 이름으로
"RawData"
"Message"
바꿉다.transformKql 값을
"source"
값"source | project-rename Message=RawData"
으로 바꿉니다.DCR 템플릿의
{TABLE_NAME}
{LOCAL_PATH_FILE}
자리 표시자와 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Azure Monitor 에이전트가 설치된 컴퓨터를 구성하여 syslog 포트를 열고 외부 원본의 메시지를 수락하도록 syslog 디먼을 구성합니다. 이 구성을 자동화하는 자세한 지침 및 스크립트는 로그를 허용하도록 로그 전달자 구성을 참조 하세요.
Ubiquiti 컨트롤러를 구성하고 연결합니다.
- Ubiquiti에서 제공하는 지침에 따라 syslog를 사용하도록 설정하고 필요에 따라 로그를 디버깅합니다.
- 설정 > 시스템 설정 > 컨트롤러 구성 > 원격 로깅을 선택하고 syslog를 사용하도록 설정합니다.
VMware vCenter
다음 단계에 따라 VMware vCenter에서 로그 메시지를 수집합니다.
테이블 이름:
vcenter_CL
로그 스토리지 위치: 외부 syslog 서버에 로그 파일을 만듭니다. 파일에 syslog 디먼 쓰기 권한을 부여합니다. AMA가 아직 설치되지 않은 경우 외부 syslog 서버에 AMA를 설치합니다. 커넥터의 파일 패턴 필드 또는 DCR의
{LOCAL_PATH_FILE}
자리 표시자 대신 이 파일 이름과 경로를 입력합니다.aMA가 수집할 수 있도록 해당 vCenter 로그 메시지를 임시 텍스트 파일로 내보내도록 syslog 디먼을 구성합니다.
지시문 섹션 앞에 다음 템플릿 줄을 추가하려면 구성 파일을
/etc/rsyslog.conf
편집합니다.$template vcenter,"%timestamp% %hostname% %msg%\ n"
다음 필터링 조건과 같이
/etc/rsyslog.d/10-vcenter.conf
저장되는 rsyslog 디먼에 대한 사용자 지정 구성 파일을 만듭니다.if $rawmsg contains "vpxd" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop } if $rawmsg contains "vcenter-server" then { action(type="omfile" file="/<LOG_FILE_NAME>") stop }
(만든 로그 파일의 이름으로 바꿉
<LOG_FILE_NAME>
니다.)rsyslog를 다시 시작합니다. 일반적인 명령 구문은 .입니다
sudo systemctl restart rsyslog
.
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
열 이름을 열 이름으로
"RawData"
"Message"
바꿉다.transformKql 값을
"source"
값"source | project-rename Message=RawData"
으로 바꿉니다.DCR 템플릿의
{TABLE_NAME}
{LOCAL_PATH_FILE}
자리 표시자와 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.dataCollectionEndpointId는 DCE로 채워져야 합니다. 없는 경우 새 항목을 정의합니다. 지침은 데이터 컬렉션 엔드포인트 만들기를 참조하세요.
Azure Monitor 에이전트가 설치된 컴퓨터를 구성하여 syslog 포트를 열고 외부 원본의 메시지를 수락하도록 syslog 디먼을 구성합니다. 이 구성을 자동화하는 자세한 지침 및 스크립트는 로그를 허용하도록 로그 전달자 구성을 참조 하세요.
vCenter 디바이스를 구성하고 연결합니다.
- Syslog 메시지를 보내기 위해 VMware에서 제공하는 지침을 따릅니다.
- Azure Monitor 에이전트가 설치된 컴퓨터의 IP 주소 또는 호스트 이름을 사용합니다.
ZPA(Zscaler Private Access)
ZPA(Zscaler Private Access)에서 로그 메시지를 수집하려면 다음 단계를 수행합니다.
테이블 이름:
ZPA_CL
로그 스토리지 위치: 외부 syslog 서버에 로그 파일을 만듭니다. 파일에 syslog 디먼 쓰기 권한을 부여합니다. AMA가 아직 설치되지 않은 경우 외부 syslog 서버에 AMA를 설치합니다. 커넥터의 파일 패턴 필드 또는 DCR의
{LOCAL_PATH_FILE}
자리 표시자 대신 이 파일 이름과 경로를 입력합니다.AMA에서 수집할 수 있도록 해당 ZPA 로그 메시지를 임시 텍스트 파일로 내보내도록 syslog 디먼을 구성합니다.
다음 필터링 조건을 사용하여 폴더에 rsyslog 디먼에
/etc/rsyslog.d/
대한 사용자 지정 구성 파일을 만듭니다.# Define a new ruleset ruleset(name="<RULESET_NAME>") { action(type="omfile" file="<LOG_FILE_NAME>") } # Set the input on port and bind it to the new ruleset input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>")
(표시된 개체의 실제 이름으로 바꿉
<parameters>
니다.)rsyslog를 다시 시작합니다. 일반적인 명령 구문은 .입니다
systemctl restart rsyslog
.
Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집의 지침에 따라 DCR을 만들고 Microsoft Sentinel에 수집합니다.
열 이름을 열 이름으로
"RawData"
"Message"
바꿉다.transformKql 값을
"source"
값"source | project-rename Message=RawData"
으로 바꿉니다.DCR 템플릿의
{TABLE_NAME}
{LOCAL_PATH_FILE}
자리 표시자와 자리 표시자를 1단계와 2단계의 값으로 바꿉다. 지시에 따라 다른 자리 표시자를 바꿉다.
Azure Monitor 에이전트가 설치된 컴퓨터를 구성하여 syslog 포트를 열고 외부 원본의 메시지를 수락하도록 syslog 디먼을 구성합니다. 이 구성을 자동화하는 자세한 지침 및 스크립트는 로그를 허용하도록 로그 전달자 구성을 참조 하세요.
ZPA 수신기를 구성하고 연결합니다.
- ZPA에서 제공하는 지침을 따릅니다. 로그 템플릿으로 JSON을 선택합니다.
- 설정 > 시스템 설정 > 컨트롤러 구성 > 원격 로깅을 선택하고 syslog를 사용하도록 설정합니다.