Samla in loggar från textfiler med Azure Monitor-agenten och mata in till Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du använder anpassade loggar via AMA-anslutningsprogrammet för att snabbt filtrera och mata in loggar i textfilformat från nätverk eller säkerhetsprogram som är installerade på Windows- eller Linux-datorer.

Många program loggar data till textfiler i stället för standardloggningstjänster som Windows-händelselogg eller Syslog. Du kan använda Azure Monitor Agent (AMA) för att samla in data i textfiler med icke-standardformat från både Windows- och Linux-datorer. AMA kan också påverka transformeringar på data vid tidpunkten för samlingen för att parsa dem i olika fält.

Mer information om de program som Microsoft Sentinel har lösningar för att stödja logginsamling finns i Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program.

Mer allmän information om hur du matar in anpassade loggar från textfiler finns i Samla in loggar från en textfil med Azure Monitor Agent.

Viktigt!

• Anpassade loggar via AMA-dataanslutningsappen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

• Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Innan du börjar måste du ha resurserna konfigurerade och rätt behörigheter tilldelade, enligt beskrivningen i det här avsnittet.

Krav för Microsoft Sentinel

• Installera Microsoft Sentinel-lösningen som matchar ditt program och se till att du har behörighet att slutföra stegen i den här artikeln. Du hittar de här lösningarna i innehållshubben i Microsoft Sentinel och de innehåller alla anpassade loggar via AMA-anslutningsappen .

  En lista över program som har lösningar i innehållshubben finns i Specifika instruktioner per program. Om det inte finns någon tillgänglig lösning för ditt program installerar du anpassade loggar via AMA-lösningen .

  Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

• Ha ett Azure-konto med följande rollbaserade Azure-åtkomstkontrollroller (Azure RBAC):

  Inbyggd roll	Omfattning	Anledning
  - Virtuell datordeltagare - Azure Connected Machine    Resursadministratör	Virtuella datorer (VM) Virtual Machine Scale Sets Azure Arc-aktiverade servrar	Distribuera agenten
  Alla roller som innehåller åtgärden Microsoft.Resources/deployments/*	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här distribuerar du Azure Resource Manager-mallar
  Övervakningsdeltagare	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här skapar eller redigerar du regler för datainsamling

Krav för loggvidare

Vissa anpassade program finns på stängda enheter som kräver att loggarna skickas till en extern logginsamlare/vidarebefordrare. I ett sådant scenario gäller följande krav för loggvidare:

• Du måste ha en utsedd virtuell Linux-dator som loggvidare för att kunna samla in loggar.

  • Skapa en virtuell Linux-dator i Azure Portal.
  • Linux-operativsystem som stöds för Azure Monitor Agent.

• Om loggvidare inte är en virtuell Azure-dator måste azure Arc Connected Machine-agenten vara installerad på den.

• Den virtuella Linux-loggvidaredatorn måste ha Python 2.7 eller 3 installerat. python --version Använd kommandot eller python3 --version för att kontrollera. Om du använder Python 3 kontrollerar du att det är inställt som standardkommando på datorn eller kör skript med kommandot "python3" i stället för "python".

• Loggvidare måste ha antingen syslog-ng daemon aktiverat.rsyslog

• Utrymmeskrav för din loggvidare finns i Prestandamått för Azure Monitor Agent. Du kan också granska det här blogginlägget, som innehåller design för skalbar inmatning.

• Dina loggkällor, säkerhetsenheter och installationer måste konfigureras för att skicka sina loggmeddelanden till loggvidares syslog-daemon i stället för till deras lokala syslog-daemon.

Krav för datorsäkerhet

Konfigurera loggvidaredatorns säkerhet enligt organisationens säkerhetsprincip. Konfigurera till exempel nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav. För att förbättra datorns säkerhetskonfiguration kan du skydda den virtuella datorn i Azure eller granska de här metodtipsen för nätverkssäkerhet.

Om dina enheter skickar loggar via TLS eftersom till exempel loggvidare finns i molnet måste du konfigurera syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS. Mer information finns i:

• Kryptera Syslog-trafik med TLS – rsyslog
• Kryptera loggmeddelanden med TLS – syslog-ng

Konfigurera datakopplingen

Konfigurationsprocessen för anpassade loggar via AMA-dataanslutningen innehåller följande steg:

1. Skapa måltabellen i Log Analytics (eller Avancerad jakt om du är i Defender-portalen).

   Tabellens namn måste sluta med _CL och får endast bestå av följande två fält:

   • TimeGenerated (av typen DateTime): tidsstämpeln för skapandet av loggmeddelandet.
   • RawData (av typen Sträng): loggmeddelandet i sin helhet.
     (Om du samlar in loggar från en loggvidare och inte direkt från enheten som är värd för programmet namnger du det här fältet Meddelande i stället för RawData.)

2. Installera Azure Monitor-agenten och skapa en datainsamlingsregel (DCR) med någon av följande metoder:

   • Azure- eller Defender-portalen
   • Azure Resource Manager-mall

3. Om du samlar in loggar med hjälp av en loggvidare konfigurerar du syslog-daemonen på datorn så att den lyssnar efter meddelanden från andra källor och öppnar de lokala portar som krävs. Mer information finns i Konfigurera loggvidare för att acceptera loggar.

Välj lämplig flik för instruktioner.

Azure- eller Defender-portalen

Skapa datainsamlingsregel (DCR)

Kom igång genom att öppna antingen anpassade loggar via AMA-dataanslutningsappen i Microsoft Sentinel och skapa en datainsamlingsregel (DCR).

1. För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Dataanslutningar.
   För Microsoft Sentinel i Defender-portalen väljer du Anslutningsappar för Microsoft Sentinel-konfigurationsdata>>.

2. Skriv anpassat i sökrutan. I resultatet väljer du Anpassade loggar via AMA-anslutningsappen .

3. Välj Sidan Öppna anslutningsapp i informationsfönstret.

   

4. I området Konfiguration väljer du +Skapa datainsamlingsregel.

   

5. På fliken Grundläggande :

   • Skriv ett DCR-namn.
   • Välj din prenumeration.
   • Välj den resursgrupp där du vill hitta domänkontrollanten.

   

6. Välj Nästa: Resurser >.

Definiera VM-resurser

På fliken Resurser väljer du de datorer som du vill samla in loggarna från. Det här är antingen de datorer som programmet är installerat på eller dina loggvidaredatorer. Om den dator du letar efter inte visas i listan kanske det inte är en virtuell Azure-dator med Azure Connected Machine-agenten installerad.

1. Använd de tillgängliga filtren eller sökrutan för att hitta den dator du letar efter. Expandera en prenumeration i listan för att se dess resursgrupper och en resursgrupp för att se dess virtuella datorer.

2. Välj den dator som du vill samla in loggar från. Kryssrutan visas bredvid namnet på den virtuella datorn när du hovrar över den.

   

   Om de datorer som du valde inte redan har Azure Monitor-agenten installerad på sig installeras agenten när DCR skapas och distribueras.

3. Granska ändringarna och välj Nästa: Samla in >.

Konfigurera DCR för ditt program

1. På fliken Samla in väljer du program- eller enhetstyp i listrutan Välj enhetstyp (valfritt) eller lämnar den som Anpassad ny tabell om programmet eller enheten inte visas.

2. Om du väljer något av de angivna programmen eller enheterna fylls fältet Tabellnamn automatiskt i med rätt tabellnamn. Om du väljer Anpassad ny tabell anger du ett tabellnamn under Tabellnamn. Namnet måste sluta med suffixet _CL .

3. I fältet Filmönster anger du sökvägen och filnamnet för de textloggfiler som ska samlas in. Information om hur du hittar standardfilnamnen och sökvägarna för varje program eller enhetstyp finns i Specifika instruktioner per programtyp. Du behöver inte använda standardfilnamnen eller sökvägarna och du kan använda jokertecken i filnamnet.

4. Om du väljer en anpassad ny tabell i steg 1 i fältet Transformera anger du en Kusto-fråga som tillämpar valfri transformering på data.

   Om du väljer något av de angivna programmen eller enheterna i steg 1 fylls det här fältet automatiskt i med rätt transformering. Redigera INTE den transformering som visas där. Beroende på den valda typen bör det här värdet vara något av följande:

   • source (standardvärdet – ingen transformering)
   • source | project-rename Message=RawData (för enheter som skickar loggar till en vidarebefordrare)

5. Granska dina val och välj Nästa: Granska + skapa.

Granska och skapa regeln

När du har slutfört alla flikar granskar du det du angav och skapar datainsamlingsregeln.

1. På fliken Granska och skapa väljer du Skapa.

   

   Anslutningsappen installerar Azure Monitor-agenten på de datorer som du valde när du skapade din DCR.

2. Kontrollera meddelandena i Azure Portal- eller Microsoft Defender-portalen för att se när DCR skapas och agenten är installerad.

3. Välj Uppdatera på anslutningssidan för att se DCR som visas i listan.

Resource Manager-mall

Installera Azure Monitor-agenten

Följ lämpliga instruktioner i Azure Monitor-dokumentationen för att installera Azure Monitor-agenten på den dator som är värd för ditt program eller i loggvidare. Använd anvisningarna för Windows eller Linux efter behov.

• Installera AMA med PowerShell
• Installera AMA med hjälp av Azure CLI
• Installera AMA med hjälp av en Azure Resource Manager-mall

Skapa datainsamlingsregler (DCR) med hjälp av AZURE Monitor Logs Ingestion API. Mer information finns i Datainsamlingsregler i Azure Monitor.

Skapa datainsamlingsregeln

Använd följande ARM-mall för att skapa eller ändra en DCR för insamling av textloggfiler:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "{DCR_NAME}",
            "location": "{DCR_LOCATION}",
            "apiVersion": "2022-06-01",
            "properties": {
                "streamDeclarations": {
                    "Custom-Text-{TABLE_NAME}": {
                        "columns": [
                            {
                                "name": "TimeGenerated",
                                "type": "datetime"
                            },
                            {
                                "name": "RawData",
                                "type": "string"
                            },
                        ]
                    }
                },
                "dataSources": {
                    "logFiles": [
                        {
                            "streams": [
                                "Custom-Text-{TABLE_NAME}"
                            ],
                            "filePatterns": [
                                "{LOCAL_PATH_FILE_1}","{LOCAL_PATH_FILE_2}"
                            ],
                            "format": "text",
                            "name": "Custom-Text-{TABLE_NAME}"
                        }
                    ]
                },
                "destinations": {
                    "logAnalytics": [
                        {
                            "workspaceResourceId": "{WORKSPACE_RESOURCE_PATH}",
                            "workspaceId": "{WORKSPACE_ID}",
                            "name": "workspace"
                        }
                    ]
                },
                "dataFlows": [
                    {
                        "streams": [
                            "Custom-Text-{TABLE_NAME}"
                        ],
                        "destinations": [
                            "DataCollectionEvent"
                        ],
                        "transformKql": "source",
                        "outputStream": "Custom-{TABLE_NAME}"
                    }
                ]
            }
        }
    ]
}

Ersätt {PLACE_HOLDER}-värdena med följande värden:

Platshållare	Värde
{DCR_NAME}	Namnet du väljer för datainsamlingsregeln. Den måste vara unik på din arbetsyta.
{DCR_LOCATION}	Den region där resursgruppen som innehåller DCR finns.
{TABLE_NAME}	Namnet på måltabellen i Log Analytics. Måste sluta med _CL.
{LOCAL_PATH_FILE_1} (krävs), {LOCAL_PATH_FILE_2} (valfritt)	Sökvägar och filnamn för textfilerna som innehåller loggarna som du vill samla in. Dessa måste finnas på den dator där Azure Monitor-agenten är installerad.
{WORKSPACE_RESOURCE_PATH}	Azure-resurssökvägen för din Microsoft Sentinel-arbetsyta.
{WORKSPACE_ID}	GUID för din Microsoft Sentinel-arbetsyta.

Associera DCR med Azure Monitor-agenten

Om du skapar DCR med hjälp av en ARM-mall måste du fortfarande associera DCR med de agenter som ska använda den. Du kan redigera domänkontrollanten i Azure Portal och välja agenterna enligt beskrivningen i Definiera VM-resurser.

Konfigurera loggvidare för att acceptera loggar

Om du samlar in loggar från en installation med hjälp av en loggvidare konfigurerar du syslog-daemonen på loggvidare för att lyssna efter meddelanden från andra datorer och öppna nödvändiga lokala portar.

1. Kopiera följande kommandorad:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Logga in på loggvidaredatorn där du precis har installerat AMA.

3. Klistra in kommandot som du kopierade i det sista steget för att starta installationsskriptet.
   Skriptet konfigurerar rsyslog eller syslog-ng daemon att använda det protokoll som krävs och startar om daemonen. Skriptet öppnar port 514 för att lyssna på inkommande meddelanden i både UDP- och TCP-protokoll. Om du vill ändra den här inställningen läser du konfigurationsfilen för syslog-daemon enligt den daemontyp som körs på datorn:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Om du använder Python 3 och inte har angetts som standardkommando på datorn ersätter python3 python du med det inklistrade kommandot. Se Krav för loggvidare.

   Kommentar

   För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog konfigurationen syslog-ng för att inte lagra onödiga loggar. Ett fullständigt diskscenario stör funktionen för den installerade AMA:en. Mer information finns i RSyslog eller Syslog-ng.

Konfigurera säkerhetsenheten eller enheten

Specifika instruktioner för att konfigurera ditt säkerhetsprogram eller din installation finns i Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program

Kontakta lösningsleverantören om du vill ha mer information eller om informationen inte är tillgänglig för enheten eller enheten.

Relaterat innehåll

• Regler för datainsamling i Azure Monitor
• Samla in loggar från en textfil med Azure Monitor Agent