[已弃用]使用 Log Analytics 代理以自定义日志格式收集数据，以Microsoft Sentinel

重要

现在，Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息，请参阅查找 Microsoft Sentinel 数据连接器。

本文介绍如何使用 Log Analytics 代理将数据从使用自定义日志格式的设备收集到 Microsoft Sentinel。 若要了解如何使用 Azure Monitor 代理 (AMA) 引入自定义日志，请参阅使用 Azure Monitor 代理从文本文件收集日志并引入到 Microsoft Sentinel。

许多应用程序将数据记录到文本文件，而不是标准日志记录服务（如 Windows 事件日志或 Syslog）。 可以使用 Log Analytics 代理从 Windows 和 Linux 计算机的非标准格式的文本文件中收集数据。 在收集后，可以将数据分析到查询中的各个字段，或者在收集期间将数据提取到各个字段。

有关支持用于收集自定义日志格式的数据连接器的详细信息，请参阅数据连接器参考。

重要

Log Analytics 代理将于 2024 年 8 月 31 日停用。 如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理，我们建议迁移到 Azure Monitor 代理 (AMA)。 有关详细信息，请参阅 Microsoft Sentinel 的 AMA 迁移。

若要详细了解自定义日志，请参阅 Azure Monitor 文档。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

安装 Log Analytics 代理

在将生成日志的 Linux 或 Windows 计算机上安装 Log Analytics 代理。

某些供应商建议将 Log Analytics 代理安装在单独的日志服务器上，而不是直接安装在设备上。 请查看数据连接器参考页上的产品部分或产品自己的文档。

根据连接器是否是 Microsoft Sentinel 内容中心中列出的解决方案的一部分，选择下面的相应选项卡。

来自特定的数据连接器页

在开始之前，请从 Microsoft Sentinel 中的内容中心安装适用于产品的解决方案。 有关详细信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。 一旦产品的数据连接器可用，请继续执行以下步骤。

1. 在 Microsoft Sentinel 导航菜单中，选择“数据连接器”。

2. 搜索并选择相应的产品数据连接器。

3. 选择“打开连接器页”。

4. 在生成日志的设备上安装并加入代理。 根据需要选择“Linux”或“Windows”。

   计算机类型	Instructions
   对于 Azure Linux VM	在“选择安装 Linux 代理的位置”下，展开“在 Azure Linux 虚拟机上安装代理”。 选择“下载并安装用于 Azure Linux 虚拟机的代理”>链接。 在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。 对于要连接的每个 VM，重复此步骤。
   对于任何其他 Linux 计算机	在“选择安装 Linux 代理的位置”下，展开“在非 Azure Linux 计算机上安装代理”。 选择“下载并安装用于非 Azure Linux 虚拟机的代理”>链接。 在“代理管理”边栏选项卡中，选择“Linux 服务器”选项卡，然后复制用于“下载和载入适用于 Linux 的代理”的命令并在 Linux 计算机上运行。 如果要保留 Linux 代理安装文件的本地副本，请选择“下载和载入代理”命令上方的“下载 Linux 代理”链接。
   对于 Azure Windows VM	在“选择安装 Windows 代理的位置”下，展开“在 Azure Windows 虚拟机上安装代理”。 选择“下载并安装用于 Azure Windows 虚拟机的代理”>链接。 在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。 对于要连接的每个 VM，重复此步骤。
   对于任何其他 Windows 计算机	在“选择安装 Windows 代理的位置”下，展开“在非 Azure Windows 计算机上安装代理” 选择“下载并安装用于非 Azure Windows 计算机的代理”>链接。 在“代理管理”边栏选项卡的“Windows 服务器”选项卡上，根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接。

其他数据源

1. 从 Microsoft Sentinel 导航菜单中，选择“设置”，然后选择“工作区设置”选项卡。

2. 在生成日志的设备上安装并加入代理。 根据需要选择“Linux”或“Windows”。

   计算机类型	Instructions
   Azure VM（Windows 或 Linux）	从 Log Analytics 工作区导航菜单中，选择“虚拟机”。 在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。 对于要连接的每个 VM，重复此步骤。
   任何其他 Windows 或 Linux 计算机	从 Log Analytics 工作区导航菜单中，选择“代理管理”。 根据需要选择“Windows 服务器”或“Linux 服务器”选项卡。 对于 Windows，根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接。 对于 Linux，复制用于“下载和载入适用于 Linux 的代理”的命令并通过命令行运行它，或选择“下载 Linux 代理”链接以下载安装文件的本地副本。

配置要收集的日志

许多设备类型都有自己的数据连接器，它们显示在 Microsoft Sentinel 的“数据连接器”页中。 其中一些连接器需要特殊的额外说明，以便在 Microsoft Sentinel 中正确设置日志收集。 这些说明可能包含基于 Kusto 函数的分析程序的实现。

在 Microsoft Sentinel 中列出的所有连接器都将在门户中各自的连接器页面，以及 Microsoft Sentinel 数据连接器参考页面的相应部分中显示任何特定的说明。

如果产品解决方案不包含内容中心中列出的数据连接器，请参阅供应商的文档，以获取有关为设备配置日志记录的说明。

配置 Log Analytics 代理

1. 从连接器页中，选择“打开工作区自定义日志配置”链接。

   或者，从 Log Analytics 工作区导航菜单中，选择“自定义日志”。

2. 在“自定义表”选项卡中，选择“添加自定义日志”。

3. 在“示例”选项卡上，从设备上传日志文件的示例（例如，access.log 或 error.log）。 然后，选择“下一步”。

4. 在“记录分隔符”选项卡中，选择记录分隔符“换行符”或“时间戳”（参见有关该选项卡的说明），然后选择“下一步”。

5. 在“集合路径”选项卡中，选择路径类型“Windows”或“Linux”，并根据配置输入设备的日志路径。 然后，选择“下一步”。

6. 为自定义日志指定名称和说明（可选），然后选择“下一步”。
   名称不要以“_CL”结尾，因为它将自动追加。

查找数据

若要在“日志”中查询自定义日志数据，请在查询窗口中键入为自定义日志（以“_CL”结尾）指定的名称。

后续步骤

本文档介绍了如何收集自定义日志类型中的数据以引入到 Microsoft Sentinel 中。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。
• 使用工作簿监视数据。