Condividi tramite


Raccogliere log da file di testo con l'agente di Monitoraggio di Azure e inserirli in Microsoft Sentinel

Questo articolo descrive come usare il connettore Log personalizzati tramite AMA per filtrare e inserire rapidamente i log in formato file di testo da applicazioni di rete o di sicurezza installate in computer Windows o Linux.

Molte applicazioni registrano i dati nei file di testo invece di usare servizi di registrazione standard come il registro eventi di Windows o Syslog. È possibile usare l'agente di Monitoraggio di Azure per raccogliere dati in file di testo di formati non standard da computer Windows e Linux. L'agente di Monitoraggio di Azure può anche influire sulle trasformazioni sui dati al momento della raccolta, per analizzarli in campi diversi.

Per altre informazioni sulle applicazioni per le quali Microsoft Sentinel include soluzioni per supportare la raccolta dei log, vedere Connettore dati Log personalizzati tramite AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche.

Per informazioni più generali sull'inserimento di log personalizzati da file di testo, vedere Raccogliere log da un file di testo con l'agente di Monitoraggio di Azure.

Importante

  • Il connettore dati Log personalizzati tramite AMA è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

  • Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di iniziare, è necessario avere le risorse configurate e le autorizzazioni appropriate assegnate, come descritto in questa sezione.

Prerequisiti di Microsoft Sentinel

  • Installare la soluzione Microsoft Sentinel appropriata che corrisponde all'applicazione e assicurarsi di avere le autorizzazioni necessarie per completare i passaggi descritti in questo articolo. Queste soluzioni sono reperibili nell'hub dei contenuti in Microsoft Sentinel e includono tutte il connettore Log personalizzati tramite AMA.

    Per l'elenco delle applicazioni che includono soluzioni nell'hub dei contenuti, vedere le istruzioni specifiche per ogni applicazione. Se non è disponibile una soluzione per l'applicazione, installare la soluzione Log personalizzati tramite AMA.

    Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

  • Predisporre un account Azure con i seguenti ruoli di controllo degli accessi in base al ruolo di Azure:

    Ruolo predefinito Ambito Motivo
    - Collaboratore macchine virtuali
    - Azure Connected Machine
       Amministratore risorse
  • Macchine virtuali (VM)
  • Set di scalabilità di macchine virtuali
  • Server con abilitazione di Azure Arc
  • Per distribuire l'agente
    Qualsiasi ruolo che includa l'azione
    Microsoft.Resources/deployments/*
  • Subscription
  • Gruppo di risorse
  • Regola di raccolta dati esistente
  • Per implementare modelli di Azure Resource Manager
    Collaboratore al monitoraggio
  • Subscription
  • Gruppo di risorse
  • Regola di raccolta dati esistente
  • Per creare o modificare le regole di raccolta dati

Prerequisiti del server d'inoltro dei log

Alcune applicazioni personalizzate sono ospitate in appliance chiuse che richiedono l'invio dei log a un agente di raccolta log/server d'inoltro esterno. In uno scenario di questo tipo i prerequisiti seguenti si applicano al server d'inoltro dei log:

  • Per raccogliere i log, è necessario disporre di una macchina virtuale Linux designata come server d'inoltro dei log.

  • Se il server d'inoltro dei log non è una macchina virtuale di Azure, deve essere installato l'agente Connected Machine di Azure Arc.

  • La macchina virtuale del server d'inoltro dei log Linux deve avere Python 2.7 o 3 installato. Usare il comando python --version o python3 --version per eseguire la verifica. Se si usa Python 3, assicurarsi che sia impostato come comando predefinito nel computer, oppure eseguire script con il comando "python3" anziché "python".

  • Il server d'inoltro dei log deve avere il daemon syslog-ng o rsyslog abilitato.

  • Per i requisiti di spazio per il server d'inoltro dei log, vedere il benchmark delle prestazioni dell'agente di Monitoraggio di Azure. È anche possibile esaminare questo post di blog, che include progettazioni per l'inserimento scalabile.

  • Le origini di log, i dispositivi di sicurezza e le appliance devono essere configurati per inviare i messaggi di log al daemon Syslog del server d'inoltro dei log anziché al daemon Syslog locale.

Prerequisiti di sicurezza del computer

Configurare la sicurezza del server d'inoltro logo in base ai criteri dell'organizzazione. Ad esempio, configurare la rete in modo da allinearla ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. Per migliorare la configurazione della sicurezza dei computer, proteggere la macchina virtuale in Azure o esaminare queste procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log tramite TLS perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon Syslog (rsyslog o syslog-ng) per comunicare in TLS. Per altre informazioni, vedi:

Configurare il connettore dati

Il processo di installazione per il connettore dati Log personalizzati tramite AMA prevede i passaggi seguenti:

  1. Creare la tabella di destinazione in Log Analytics (o in Rilevazione avanzata nel portale Defender).

    Il nome della tabella deve terminare con _CL e deve essere costituito solo dai due campi seguenti:

    • TimeGenerated (di tipo DateTime): il timestamp della creazione del messaggio di log.
    • RawData (di tipo String): il messaggio di log completo.
      Se si raccolgono i log da un server d'inoltro dei log e non direttamente dal dispositivo che ospita l'applicazione, assegnare a questo campo il nome Message anziché RawData.
  2. Installare l'agente di Monitoraggio di Azure e creare una regola di raccolta dati usando uno dei metodi seguenti:

  3. Se si raccolgono i log usando un server d'inoltro dei log, configurare il daemon Syslog nel computer per l'ascolto dei messaggi provenienti da altre origini e aprire le porte locali necessarie. Per informazioni dettagliate, vedere Configurare il server d'inoltro dei log per accettare i log.

Selezionare la scheda appropriata per le istruzioni.

Creare la regola di raccolta dati

Per iniziare, aprire il connettore dati Log personalizzati tramite AMA in Microsoft Sentinel e creare una regola di raccolta dati.

  1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Connettori dati.
    Per Microsoft Sentinel, nel portale di Defender selezionare Microsoft Sentinel>Configurazione>Connettori dati.

  2. Digitare personalizzati nella casella di ricerca. Nei risultati selezionare il connettore Log personalizzati tramite AMA.

  3. Selezionare Apri la pagina del connettore nel riquadro dei dettagli.

    Screenshot del connettore Log personalizzati tramite AMA nella raccolta.

  4. Nell'area Configurazione, selezionare+Crea regola di raccolta dati.

    Screenshot che mostra la pagina del connettore Log personalizzati tramite AMA.

  5. Nella scheda Impostazioni generali:

    • Digitare un nome DCR.
    • Selezionare la propria sottoscrizione.
    • Selezionare il gruppo di risorse in cui individuare il DCR.

    Screenshot che mostra i dettagli DCR nella scheda Impostazioni generali.

  6. Selezionare Avanti: Risorse>.

Definire le risorse della macchina virtuale

Nella scheda Risorse selezionare i computer da cui raccogliere i log. Si tratta dei computer in cui è installata l'applicazione o di quelli contenenti il server d'inoltro dei log. Se il computer che si sta cercando non viene visualizzato nell'elenco, potrebbe non essere una macchina virtuale di Azure con l'agente di Azure Connected Machine installato.

  1. Usare i filtri o la casella di ricerca disponibili per trovare il computer che si sta cercando. Espandere una sottoscrizione nell'elenco per visualizzare i gruppi di risorse, poi un gruppo di risorse per visualizzare le macchine virtuali.

  2. Selezionare il computer da cui raccogliere i log. La casella di controllo viene visualizzata accanto al nome della macchina virtuale quando si passa il puntatore del mouse su di essa.

    Screenshot che mostra come selezionare le risorse durante la configurazione di DCR.

    Se nei computer selezionati non è già installato, l'agente di Monitoraggio di Azure viene installato quando viene creata e distribuita la regola di raccolta dati.

  3. Esaminare le modifiche e selezionare Avanti: Raccogliere>.

Configurare la regola di raccolta dati per l'applicazione

  1. Nella scheda Raccolta selezionare l'applicazione o il tipo di dispositivo nell'elenco a discesa Selezionare il tipo di dispositivo (facoltativo) oppure lasciare l'impostazione Nuova tabella personalizzata se l'applicazione o il dispositivo non è elencato.

  2. Se si sceglie una delle applicazioni o uno dei dispositivi elencati, il campo Nome tabella viene popolato automaticamente con il nome di tabella corretto. Se si sceglie Nuova tabella personalizzata, immettere un nome di tabella in Nome tabella. Il nome deve terminare con il suffisso _CL.

  3. Nel campo Modello file immettere il percorso e il nome dei file di log di testo da raccogliere. Per trovare i nomi e i percorsi di file predefiniti per ogni applicazione o tipo di dispositivo, vedere le istruzioni specifiche per tipo di applicazione. Non è necessario usare i nomi o i percorsi di file predefiniti ed è possibile usare caratteri jolly nel nome file.

  4. Nel campo Trasformazione, se nel passaggio 1 è stata scelta una nuova tabella personalizzata, immettere una query Kusto che applica una trasformazione a scelta ai dati.

    Se nel passaggio 1 è stata scelta una delle applicazioni o uno dei dispositivi elencati, questo campo viene popolato automaticamente con la trasformazione corretta. NON modificare la trasformazione visualizzata. A seconda del tipo scelto, questo valore deve essere uno dei seguenti:

    • source (valore predefinito - nessuna trasformazione)
    • source | project-rename Message=RawData (per i dispositivi che inviano log a un server d'inoltro)
  5. Rivedere le selezioni, quindi selezionare Avanti: Rivedi e crea.

Rivedere e creare la regola

Dopo aver completato tutte le schede, esaminare gli elementi inseriti e creare la regola di raccolta dati.

  1. Nella scheda Rivedi e crea, selezionare Crea.

    Screenshot che mostra come esaminare la configurazione di DCR e crearla.

    Il connettore installa l'agente di Monitoraggio di Azure nei computer selezionati durante la creazione del DCR.

  2. Controllare le notifiche nel portale di Azure o nel portale di Microsoft Defender per verificare quando viene creato il DCR e l'agente è installato.

  3. Selezionare Aggiorna nella pagina del connettore per visualizzare il DCR presente nell'elenco.

Configurare il server d'inoltro dei log per accettare i log

Se si raccolgono i log da un'appliance usando il server d'inoltro dei log, configurare il daemon Syslog nel server d'inoltro per l'ascolto dei messaggi provenienti da altri computer e aprire le porte locali necessarie.

  1. Copiare la riga di comando seguente:

    sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
    
  2. Accedere al computer del server d'inoltro dei log in cui è stato appena installato l'AMA.

  3. Incollare il comando copiato nell'ultimo passaggio per avviare lo script di installazione.
    Lo script configura il daemon rsyslog o syslog-ng per l'uso del protocollo richiesto e riavvia il daemon. Lo script apre la porta 514 per ascoltare i messaggi in ingresso nei protocolli UDP e TCP. Per modificare questa impostazione, fare riferimento al file di configurazione del daemon Syslog in base al tipo di daemon in esecuzione nel computer:

    • Rsyslog: /etc/rsyslog.conf
    • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

    Se si usa Python 3 e non è impostato come comando predefinito nel computer, sostituire python3 con python nel comando incollato. Vedere Prerequisiti del server d'inoltro dei log.

    Nota

    Per evitare scenari con disco completo in cui l'agente non può funzionare, è consigliabile impostare la configurazione syslog-ng o rsyslog per non archiviare i log se non è necessario. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato. Per altre informazioni, vedere RSyslog o Syslog-ng.

Configurare il dispositivo o l'appliance di sicurezza

Per istruzioni specifiche per configurare l'applicazione o l'appliance di sicurezza, vedere Connettore dati Log personalizzati tramite AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche

Contattare il provider di soluzioni per ulteriori informazioni o qualora le informazioni non fossero disponibili per l'appliance o il dispositivo.