Raccogliere log da file di testo con l'agente di Monitoraggio di Azure e inserirli in Microsoft Sentinel

Articolo
10/16/2024
Si applica a:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo descrive come usare il connettore Log personalizzati tramite AMA per filtrare e inserire rapidamente i log in formato file di testo da applicazioni di rete o di sicurezza installate in computer Windows o Linux.

Molte applicazioni registrano i dati nei file di testo invece di usare servizi di registrazione standard come il registro eventi di Windows o Syslog. È possibile usare l'agente di Monitoraggio di Azure per raccogliere dati in file di testo di formati non standard da computer Windows e Linux. L'agente di Monitoraggio di Azure può anche influire sulle trasformazioni sui dati al momento della raccolta, per analizzarli in campi diversi.

Per altre informazioni sulle applicazioni per le quali Microsoft Sentinel include soluzioni per supportare la raccolta dei log, vedere Connettore dati Log personalizzati tramite AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche.

Per informazioni più generali sull'inserimento di log personalizzati da file di testo, vedere Raccogliere log da un file di testo con l'agente di Monitoraggio di Azure.

Importante

Il connettore dati Log personalizzati tramite AMA è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di iniziare, è necessario avere le risorse configurate e le autorizzazioni appropriate assegnate, come descritto in questa sezione.

Prerequisiti di Microsoft Sentinel

Installare la soluzione Microsoft Sentinel appropriata che corrisponde all'applicazione e assicurarsi di avere le autorizzazioni necessarie per completare i passaggi descritti in questo articolo. Queste soluzioni sono reperibili nell'hub dei contenuti in Microsoft Sentinel e includono tutte il connettore Log personalizzati tramite AMA.

Per l'elenco delle applicazioni che includono soluzioni nell'hub dei contenuti, vedere le istruzioni specifiche per ogni applicazione. Se non è disponibile una soluzione per l'applicazione, installare la soluzione Log personalizzati tramite AMA.

Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Predisporre un account Azure con i seguenti ruoli di controllo degli accessi in base al ruolo di Azure:

Ruolo predefinito	Ambito	Motivo
- Collaboratore macchine virtuali - Azure Connected Machine Amministratore risorse	Macchine virtuali (VM) Set di scalabilità di macchine virtuali Server con abilitazione di Azure Arc	Per distribuire l'agente
Qualsiasi ruolo che includa l'azione Microsoft.Resources/deployments/*	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per implementare modelli di Azure Resource Manager
Collaboratore al monitoraggio	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per creare o modificare le regole di raccolta dati

Prerequisiti del server d'inoltro dei log

Alcune applicazioni personalizzate sono ospitate in appliance chiuse che richiedono l'invio dei log a un agente di raccolta log/server d'inoltro esterno. In uno scenario di questo tipo i prerequisiti seguenti si applicano al server d'inoltro dei log:

Per raccogliere i log, è necessario disporre di una macchina virtuale Linux designata come server d'inoltro dei log.
- Creare una macchina virtuale Linux nel portale di Azure.
- Sistemi operativi Linux supportati per l'agente di Monitoraggio di Azure.
Se il server d'inoltro dei log non è una macchina virtuale di Azure, deve essere installato l'agente Connected Machine di Azure Arc.
La macchina virtuale del server d'inoltro dei log Linux deve avere Python 2.7 o 3 installato. Usare il comando python --version o python3 --version per eseguire la verifica. Se si usa Python 3, assicurarsi che sia impostato come comando predefinito nel computer, oppure eseguire script con il comando "python3" anziché "python".
Il server d'inoltro dei log deve avere il daemon syslog-ng o rsyslog abilitato.
Per i requisiti di spazio per il server d'inoltro dei log, vedere il benchmark delle prestazioni dell'agente di Monitoraggio di Azure. È anche possibile esaminare questo post di blog, che include progettazioni per l'inserimento scalabile.
Le origini di log, i dispositivi di sicurezza e le appliance devono essere configurati per inviare i messaggi di log al daemon Syslog del server d'inoltro dei log anziché al daemon Syslog locale.

Prerequisiti di sicurezza del computer

Configurare la sicurezza del server d'inoltro logo in base ai criteri dell'organizzazione. Ad esempio, configurare la rete in modo da allinearla ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. Per migliorare la configurazione della sicurezza dei computer, proteggere la macchina virtuale in Azure o esaminare queste procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log tramite TLS perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon Syslog (rsyslog o syslog-ng) per comunicare in TLS. Per altre informazioni, vedi:

Configurare il connettore dati

Il processo di installazione per il connettore dati Log personalizzati tramite AMA prevede i passaggi seguenti:

Creare la tabella di destinazione in Log Analytics (o in Rilevazione avanzata nel portale Defender).

Il nome della tabella deve terminare con _CL e deve essere costituito solo dai due campi seguenti:
- TimeGenerated (di tipo DateTime): il timestamp della creazione del messaggio di log.
- RawData (di tipo String): il messaggio di log completo.
  Se si raccolgono i log da un server d'inoltro dei log e non direttamente dal dispositivo che ospita l'applicazione, assegnare a questo campo il nome Message anziché RawData.
Installare l'agente di Monitoraggio di Azure e creare una regola di raccolta dati usando uno dei metodi seguenti:
- Portale di Azure o Defender
- Modello di Azure Resource Manager
Se si raccolgono i log usando un server d'inoltro dei log, configurare il daemon Syslog nel computer per l'ascolto dei messaggi provenienti da altre origini e aprire le porte locali necessarie. Per informazioni dettagliate, vedere Configurare il server d'inoltro dei log per accettare i log.

Selezionare la scheda appropriata per le istruzioni.

Portale di Azure o Defender
Modello di Resource Manager

Creare la regola di raccolta dati

Per iniziare, aprire il connettore dati Log personalizzati tramite AMA in Microsoft Sentinel e creare una regola di raccolta dati.

Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Connettori dati.
Per Microsoft Sentinel, nel portale di Defender selezionare Microsoft Sentinel>Configurazione>Connettori dati.
Digitare personalizzati nella casella di ricerca. Nei risultati selezionare il connettore Log personalizzati tramite AMA.
Selezionare Apri la pagina del connettore nel riquadro dei dettagli.
Nell'area Configurazione, selezionare+Crea regola di raccolta dati.
Nella scheda Impostazioni generali:
- Digitare un nome DCR.
- Selezionare la propria sottoscrizione.
- Selezionare il gruppo di risorse in cui individuare il DCR.
Selezionare Avanti: Risorse>.

Definire le risorse della macchina virtuale

Nella scheda Risorse selezionare i computer da cui raccogliere i log. Si tratta dei computer in cui è installata l'applicazione o di quelli contenenti il server d'inoltro dei log. Se il computer che si sta cercando non viene visualizzato nell'elenco, potrebbe non essere una macchina virtuale di Azure con l'agente di Azure Connected Machine installato.

Usare i filtri o la casella di ricerca disponibili per trovare il computer che si sta cercando. Espandere una sottoscrizione nell'elenco per visualizzare i gruppi di risorse, poi un gruppo di risorse per visualizzare le macchine virtuali.
Selezionare il computer da cui raccogliere i log. La casella di controllo viene visualizzata accanto al nome della macchina virtuale quando si passa il puntatore del mouse su di essa.

Se nei computer selezionati non è già installato, l'agente di Monitoraggio di Azure viene installato quando viene creata e distribuita la regola di raccolta dati.
Esaminare le modifiche e selezionare Avanti: Raccogliere>.

Configurare la regola di raccolta dati per l'applicazione

Nella scheda Raccolta selezionare l'applicazione o il tipo di dispositivo nell'elenco a discesa Selezionare il tipo di dispositivo (facoltativo) oppure lasciare l'impostazione Nuova tabella personalizzata se l'applicazione o il dispositivo non è elencato.
Se si sceglie una delle applicazioni o uno dei dispositivi elencati, il campo Nome tabella viene popolato automaticamente con il nome di tabella corretto. Se si sceglie Nuova tabella personalizzata, immettere un nome di tabella in Nome tabella. Il nome deve terminare con il suffisso _CL.
Nel campo Modello file immettere il percorso e il nome dei file di log di testo da raccogliere. Per trovare i nomi e i percorsi di file predefiniti per ogni applicazione o tipo di dispositivo, vedere le istruzioni specifiche per tipo di applicazione. Non è necessario usare i nomi o i percorsi di file predefiniti ed è possibile usare caratteri jolly nel nome file.
Nel campo Trasformazione, se nel passaggio 1 è stata scelta una nuova tabella personalizzata, immettere una query Kusto che applica una trasformazione a scelta ai dati.

Se nel passaggio 1 è stata scelta una delle applicazioni o uno dei dispositivi elencati, questo campo viene popolato automaticamente con la trasformazione corretta. NON modificare la trasformazione visualizzata. A seconda del tipo scelto, questo valore deve essere uno dei seguenti:
- source (valore predefinito - nessuna trasformazione)
- source | project-rename Message=RawData (per i dispositivi che inviano log a un server d'inoltro)
Rivedere le selezioni, quindi selezionare Avanti: Rivedi e crea.

Rivedere e creare la regola

Dopo aver completato tutte le schede, esaminare gli elementi inseriti e creare la regola di raccolta dati.

Nella scheda Rivedi e crea, selezionare Crea.

Il connettore installa l'agente di Monitoraggio di Azure nei computer selezionati durante la creazione del DCR.
Controllare le notifiche nel portale di Azure o nel portale di Microsoft Defender per verificare quando viene creato il DCR e l'agente è installato.
Selezionare Aggiorna nella pagina del connettore per visualizzare il DCR presente nell'elenco.

Installare l'gente di Monitoraggio di Azure

Seguire le istruzioni appropriate nella documentazione di Monitoraggio di Azure per installare l'agente di Monitoraggio di Azure nel computer che ospita l'applicazione o nel server d'inoltro dei log. Seguire le istruzioni per Windows o per Linux, come appropriato.

È possibile creare regole di raccolta dati usando l'API inserimento log di Monitoraggio di Azure. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure.

Creare la regola di raccolta dati

Usare il modello di ARM seguente per creare o modificare una regola di raccolta dati per la raccolta dei file di log di testo:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "{DCR_NAME}",
            "location": "{DCR_LOCATION}",
            "apiVersion": "2022-06-01",
            "properties": {
                "streamDeclarations": {
                    "Custom-Text-{TABLE_NAME}": {
                        "columns": [
                            {
                                "name": "TimeGenerated",
                                "type": "datetime"
                            },
                            {
                                "name": "RawData",
                                "type": "string"
                            },
                        ]
                    }
                },
                "dataSources": {
                    "logFiles": [
                        {
                            "streams": [
                                "Custom-Text-{TABLE_NAME}"
                            ],
                            "filePatterns": [
                                "{LOCAL_PATH_FILE_1}","{LOCAL_PATH_FILE_2}"
                            ],
                            "format": "text",
                            "name": "Custom-Text-{TABLE_NAME}"
                        }
                    ]
                },
                "destinations": {
                    "logAnalytics": [
                        {
                            "workspaceResourceId": "{WORKSPACE_RESOURCE_PATH}",
                            "workspaceId": "{WORKSPACE_ID}",
                            "name": "workspace"
                        }
                    ]
                },
                "dataFlows": [
                    {
                        "streams": [
                            "Custom-Text-{TABLE_NAME}"
                        ],
                        "destinations": [
                            "DataCollectionEvent"
                        ],
                        "transformKql": "source",
                        "outputStream": "Custom-{TABLE_NAME}"
                    }
                ]
            }
        }
    ]
}

Sostituire i valori {PLACE_HOLDER} con i valori seguenti:

Segnaposto	Valore
{DCR_NAME}	Il nome scelto per la regola di raccolta dati. Deve essere univoco all'interno dell'area di lavoro.
{DCR_LOCATION}	L'area in cui si trova il gruppo di risorse contenente la regola di raccolta dati.
{TABLE_NAME}	Il nome della tabella di destinazione in Log Analytics. Deve terminare con `_CL`.
{LOCAL_PATH_FILE_1} (obbligatorio), {LOCAL_PATH_FILE_2} (facoltativo)	I percorsi e nomi di file dei file di testo contenenti i log da raccogliere. Devono trovarsi nel computer in cui è installato l'agente di Monitoraggio di Azure.
{WORKSPACE_RESOURCE_PATH}	Il percorso della risorsa di Azure dell'area di lavoro di Microsoft Sentinel.
{WORKSPACE_ID}	Il GUID dell'area di lavoro di Microsoft Sentinel.

Associare la regola di raccolta dati all'agente di Monitoraggio di Azure

Se si crea la regola di raccolta dati usando un modello di Resource Manager, è comunque necessario associare la regola di raccolta dati agli agenti che la useranno. È possibile modificare la regola di raccolta dati nel portale di Azure e selezionare gli agenti come descritto in Definire le risorse VM.

Configurare il server d'inoltro dei log per accettare i log

Se si raccolgono i log da un'appliance usando il server d'inoltro dei log, configurare il daemon Syslog nel server d'inoltro per l'ascolto dei messaggi provenienti da altri computer e aprire le porte locali necessarie.

Copiare la riga di comando seguente:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Accedere al computer del server d'inoltro dei log in cui è stato appena installato l'AMA.
Incollare il comando copiato nell'ultimo passaggio per avviare lo script di installazione.
Lo script configura il daemon rsyslog o syslog-ng per l'uso del protocollo richiesto e riavvia il daemon. Lo script apre la porta 514 per ascoltare i messaggi in ingresso nei protocolli UDP e TCP. Per modificare questa impostazione, fare riferimento al file di configurazione del daemon Syslog in base al tipo di daemon in esecuzione nel computer:
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Se si usa Python 3 e non è impostato come comando predefinito nel computer, sostituire python3 con python nel comando incollato. Vedere Prerequisiti del server d'inoltro dei log.

Nota

Per evitare scenari con disco completo in cui l'agente non può funzionare, è consigliabile impostare la configurazione syslog-ng o rsyslog per non archiviare i log se non è necessario. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato. Per altre informazioni, vedere RSyslog o Syslog-ng.

Configurare il dispositivo o l'appliance di sicurezza

Per istruzioni specifiche per configurare l'applicazione o l'appliance di sicurezza, vedere Connettore dati Log personalizzati tramite AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche

Contattare il provider di soluzioni per ulteriori informazioni o qualora le informazioni non fossero disponibili per l'appliance o il dispositivo.

Condividi tramite

Raccogliere log da file di testo con l'agente di Monitoraggio di Azure e inserirli in Microsoft Sentinel