Gegevens verzamelen in aangepaste logboekindelingen naar Microsoft Sentinel met de Log Analytics-agent

  • Artikel

Veel toepassingen registreren gegevens naar tekstbestanden in plaats van standaardservices voor logboekregistratie, zoals Windows-gebeurtenislogboek of Syslog. U kunt de Log Analytics-agent gebruiken om gegevens te verzamelen in tekstbestanden met niet-standaardindelingen van zowel Windows- als Linux-computers. Zodra de gegevens zijn verzameld, kunt u de gegevens parseren in afzonderlijke velden in uw query's of de gegevens extraheren tijdens het verzamelen naar afzonderlijke velden.

In dit artikel wordt beschreven hoe u uw gegevensbronnen verbindt met Microsoft Sentinel met behulp van aangepaste logboekindelingen. Zie de naslaginformatie over gegevensconnectors voor meer informatie over ondersteunde gegevensconnectors die deze methode gebruiken.

Belangrijk

De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.

Meer informatie over aangepaste logboeken in de Documentatie van Azure Monitor.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

De Log Analytics-agent installeren

Installeer de Log Analytics-agent op de Linux- of Windows-computer die de logboeken genereert.

Sommige leveranciers raden aan om de Log Analytics-agent op een afzonderlijke logboekserver te installeren in plaats van rechtstreeks op het apparaat. Raadpleeg de sectie van uw product op de referentiepagina gegevensconnectors of de eigen documentatie van uw product.

Selecteer het juiste tabblad hieronder, afhankelijk van of uw connector deel uitmaakt van de oplossing die wordt vermeld in de inhoudshub van Microsoft Sentinel of niet.

Voordat u begint, installeert u de oplossing voor het product vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie. Zodra de gegevensconnector voor het product beschikbaar is, gaat u verder met de volgende stappen.

  1. Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.

  2. Zoek en selecteer de juiste productgegevensconnector.

  3. Selecteer de pagina Verbindingslijn openen.

  4. Installeer en onboard de agent op het apparaat dat de logboeken genereert. Kies Linux of Windows indien van toepassing.

    Type computer Instructies
    Voor een Virtuele Linux-machine in Azure
    1. Vouw onder Kiezen waar u de Linux-agent wilt installeren de installatieagent uit op de virtuele Linux-machine van Azure.

    2. Selecteer de koppeling Download & install-agent voor virtuele Azure Linux-machines > .

    3. Selecteer op de blade Virtuele machines een virtuele machine waarop u de agent wilt installeren en selecteer vervolgens Verbinding maken. Herhaal deze stap voor elke VIRTUELE machine die u wilt verbinden.
    Voor elke andere Linux-machine
    1. Vouw onder Kiezen waar u de Linux-agent wilt installeren de installatieagent uit op een niet-Azure Linux-machine.

    2. Selecteer de koppeling Download & install-agent voor niet-Azure Linux-machines > .

    3. Selecteer op de blade Agents-beheer het tabblad Linux-servers , kopieer de opdracht voor Agent downloaden en onboarden voor Linux en voer deze uit op uw Linux-computer.

      Als u een lokale kopie van het installatiebestand van de Linux-agent wilt behouden, selecteert u de koppeling Linux-agent downloaden boven de opdracht Agent downloaden en onboarden.
    Voor een Virtuele Azure Windows-machine
    1. Vouw onder Kiezen waar u de Windows-agent wilt installeren de installatieagent uit op de virtuele Azure Windows-machine.

    2. Selecteer de koppeling Download & install-agent voor Virtuele Azure Windows-machines > .

    3. Selecteer op de blade Virtuele machines een virtuele machine waarop u de agent wilt installeren en selecteer vervolgens Verbinding maken. Herhaal deze stap voor elke VIRTUELE machine die u wilt verbinden.
    Voor elke andere Windows-computer
    1. Vouw onder Kiezen waar u de Windows-agent wilt installeren de installatieagent uit op een niet-Azure Windows-computer

    2. Selecteer de koppeling Download & install-agent voor niet-Azure Windows-machines > .

    3. Selecteer op de blade Agents-beheer op het tabblad Windows-servers de koppeling Windows Agent downloaden voor 32-bits of 64-bits systemen, indien van toepassing.

De logboeken configureren die moeten worden verzameld

Veel apparaattypen hebben hun eigen gegevensconnectors die worden weergegeven op de pagina Gegevensconnectors in Microsoft Sentinel. Sommige van deze connectors vereisen speciale aanvullende instructies voor het correct instellen van logboekverzameling in Microsoft Sentinel. Deze instructies kunnen de implementatie van een parser bevatten op basis van een Kusto-functie.

Alle connectors die in Microsoft Sentinel worden vermeld, geven specifieke instructies weer op hun respectieve connectorpagina's in de portal, evenals in de secties van de referentiepagina voor Microsoft Sentinel-gegevensconnectors .

Als uw product geen oplossing heeft met een gegevensconnector die wordt vermeld in de Content Hub, raadpleegt u de documentatie van uw leverancier voor instructies over het configureren van logboekregistratie voor uw apparaat.

De Log Analytics-agent configureren

  1. Selecteer op de connectorpagina de koppeling Aangepaste logboeken voor uw werkruimte openen .

    Of selecteer in het navigatiemenu van de Log Analytics-werkruimte aangepaste logboeken.

  2. Selecteer Op het tabblad Aangepaste tabellen de optie Aangepast logboek toevoegen.

  3. Upload op het tabblad Voorbeeld een voorbeeld van een logboekbestand vanaf uw apparaat (bijvoorbeeld access.log of error.log). Selecteer vervolgens Volgende.

  4. Selecteer op het tabblad Recordscheidingsteken een recordscheidingsteken, nieuwe regel of tijdstempel (zie de instructies op dat tabblad) en selecteer Volgende.

  5. Selecteer op het tabblad Verzamelingspaden een padtype van Windows of Linux en voer het pad in naar de logboeken van uw apparaat op basis van uw configuratie. Selecteer vervolgens Volgende.

  6. Geef uw aangepaste logboek een naam en eventueel een beschrijving en selecteer Volgende.
    Beƫindig uw naam niet met '_CL', omdat deze automatisch wordt toegevoegd.

Uw gegevens zoeken

Als u een query wilt uitvoeren op de aangepaste logboekgegevens in Logboeken, typt u de naam die u hebt opgegeven in het aangepaste logboek (eindigend op '_CL') in het queryvenster.

Volgende stappen

In dit document hebt u geleerd hoe u gegevens kunt verzamelen van aangepaste logboektypen die moeten worden opgenomen in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: