Share via

使用 Log Analytics 代理程式將自訂記錄格式中的數據收集到 Microsoft Sentinel

  • 發行項

許多應用程式都會將數據記錄到文本檔,而不是標準記錄服務,例如 Windows 事件記錄檔或 Syslog。 您可以使用 Log Analytics 代理程式,從 Windows 和 Linux 計算機收集非標準格式文本文件中的數據。 收集之後,您可以將數據剖析成查詢中的個別欄位,或在收集期間將數據擷取至個別欄位。

本文說明如何使用自定義記錄格式,將數據源連線到 Microsoft Sentinel。 如需使用此方法之支援資料連接器的詳細資訊,請參閱 數據連接器參考

重要

Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始規劃移轉至 AMA。 如需詳細資訊,請參閱 Microsoft Sentinel 的 AMA 移轉。

瞭解 Azure 監視器檔中的所有自訂記錄。

注意

如需美國政府雲端中功能可用性的相關信息,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 數據表。

安裝Log Analytics代理程式

在將產生記錄的Linux或 Windows 電腦上安裝Log Analytics 代理程式。

有些廠商建議將 Log Analytics 代理程式安裝在個別的記錄伺服器上,而不是直接安裝在裝置上。 請參閱數據連接器參考頁面上的產品區段,或您產品自己的檔。

根據連接器是否屬於 Microsoft Sentinel 的內容中樞中列出的解決方案,選取下方的適當索引標籤。

開始之前,請先從 Microsoft Sentinel 中的內容中樞 安裝產品的解決方案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容。 一旦產品的數據連接器可供使用,請繼續進行下列步驟。

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [數據連接器]。

  2. 搜尋並選取適當的產品數據連接器。

  3. 選取 [開啟連接器頁面]

  4. 在產生記錄的裝置上安裝並上線代理程式。 視需要選擇Linux或 Windows。

    機器類型 指示
    針對 Azure Linux VM
    1. 在 [選擇安裝 Linux 代理程式的位置] 下,展開 [在 Azure Linux 虛擬機上安裝代理程式]。

    2. 選取 [適用於 Azure Linux 虛擬機>下載和安裝代理程式] 連結。

    3. 在 [虛擬機] 刀鋒視窗中,選取要安裝代理程式的虛擬機,然後選取 [連線]。 針對您想要連線的每個 VM 重複此步驟。
    任何其他Linux電腦
    1. 在 [選擇安裝 Linux 代理程式的位置] 下,展開 [在非 Azure Linux 機器上安裝代理程式]。

    2. 選取 [下載及安裝非 Azure Linux 機器>的代理程式] 連結。

    3. 在 [代理程式管理] 刀鋒視窗中,選取 [Linux 伺服器] 索引標籤,然後複製適用於 Linux 的下載和上線代理程式的命令,並在 Linux 計算機上執行。

      如果您想要保留 Linux 代理程式安裝檔案的本機複本,請選取 [下載並上線代理程式] 命令上方的 [ 下載 Linux 代理 程式] 連結。
    針對 Azure Windows VM
    1. 在 [選擇安裝 Windows 代理程式的位置] 下,展開 [在 Azure Windows 虛擬機上安裝代理程式]。

    2. 選取 [ 下載及安裝 Azure Windows 虛擬機 > 的代理程式] 連結。

    3. 在 [虛擬機] 刀鋒視窗中,選取要安裝代理程式的虛擬機,然後選取 [連線]。 針對您想要連線的每個 VM 重複此步驟。
    針對任何其他 Windows 電腦
    1. 在 [選擇安裝 Windows 代理程式的位置] 下,展開 [在非 Azure Windows 機器上安裝代理程式]

    2. 選取 [非 Azure Windows 機器>的下載和安裝代理程式] 連結。

    3. 在 [代理程式管理] 刀鋒視窗的 [Windows 伺服器] 索引標籤上,視需要選取 32 位或 64 位系統的 [下載 Windows 代理程式] 連結。

設定要收集的記錄

許多裝置類型都有自己的數據連接器出現在 Microsoft Sentinel 的 [資料連接器 ] 頁面中。 其中有些連接器需要特殊的額外指示,才能在 Microsoft Sentinel 中正確設定記錄收集。 這些指示可以包含以 Kusto 函式為基礎的剖析器實作。

Microsoft Sentinel 中列出的所有連接器都會在入口網站的個別連接器頁面上,以及 Microsoft Sentinel 數據連接器參考頁面的區段中顯示任何特定指示。

如果您的產品沒有內容中樞所列數據連接器的解決方案,請參閱廠商的檔,以取得設定裝置記錄的指示。

設定 Log Analytics 代理程式

  1. 從連接器頁面,選取 [ 開啟工作區自定義記錄組態 ] 連結。

    或者,從 Log Analytics 工作區導覽功能表中,選取 [ 自定義記錄]。

  2. 在 [ 自定義數據表] 索引標籤中,選取 [ 新增自定義記錄]。

  3. 在 [ 範例] 索引標籤中,從您的裝置上傳記錄檔範例(例如 access.log 或 error.log)。 然後選取下一步

  4. 在 [ 記錄分隔符] 索引卷標中,選取記錄分隔符、 新增行時間戳 (請參閱該索引卷標上的指示),然後選取 [ 下一步]。

  5. 在 [ 集合路徑 ] 索引標籤中,選取 Windows 或 Linux 的路徑類型,並根據設定輸入裝置記錄的路徑。 然後選取下一步

  6. 為您的自定義記錄提供名稱,並選擇性地提供描述,然後選取 [ 下一步]。
    請勿以 「_CL」 結束您的名稱,因為它會自動附加。

尋找資料

若要在 [記錄] 中查詢自訂記錄數據,請在查詢視窗中輸入您提供自定義記錄的名稱(結尾為 “_CL”。

下一步

在本檔中,您已瞭解如何從自定義記錄類型收集數據,以內嵌至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章: