Ingesta de mensajes syslog y CEF para Microsoft Sentinel con el agente de Azure Monitor

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se muestra cómo usar Syslog a través de AMA y Common Event Format (CEF) a través de conectores AMA para filtrar e ingerir mensajes syslog y CEF de máquinas Linux, dispositivos de red y dispositivos de seguridad. Para obtener más información sobre estos conectores de datos, consulte Syslog y Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog y

Nota:

Container Insights admite la recopilación automática de eventos de Syslog de nodos de Linux en los clústeres de AKS. Obtenga más información en la colección syslog con Container Insights.

Requisitos previos

Antes de empezar, debe tener los recursos configurados y los permisos adecuados asignados, como se describe en esta sección.

Microsoft Sentinel requisitos previos

Instale la solución de Microsoft Sentinel adecuada y asegúrese de que tiene los permisos para completar los pasos de este artículo.

Instale la solución adecuada desde el centro de contenido en Microsoft Sentinel. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.
Identifique qué conector de datos necesita la solución Microsoft Sentinel Syslog a través de AMA o Common Event Format (CEF) a través de AMA y si necesita instalar la solución Syslog o Common Event Format. Para cumplir este requisito previo,
- En el centro de contenido, seleccione Administrar en la solución instalada y revise el conector de datos que aparece.
- Si Syslog a través de AMA o Common Event Format (CEF) a través de AMA no está instalado con la solución, identifique si necesita instalar la solución Syslog o Common Event Format mediante la búsqueda del dispositivo o dispositivo en uno de los artículos siguientes:
  - CEF a través del conector de datos AMA: configuración de un dispositivo o dispositivo específicos para la ingesta de datos de Microsoft Sentinel
  - Syslog a través del conector de datos AMA: configuración de dispositivo o dispositivo específicos para la ingesta de datos de Microsoft Sentinel
  A continuación, instale la solución Syslog o Common Event Format desde el centro de contenido para obtener el conector de datos ama relacionado.

Tenga una cuenta de Azure con los siguientes roles de control de acceso basado en rol (Azure RBAC) de Azure:

Rol integrado	Ámbito	Reason
- Colaborador de máquina virtual - Azure máquina conectada Administrador de recursos	Máquinas virtuales (VM) Conjuntos de escalado de máquinas virtuales Azure servidores habilitados para Arc	Para implementar el agente
Cualquier rol que incluya la acción Microsoft.Resources/deployments/*	Suscripción Grupo de recursos Regla de recopilación de datos existente	Para implementar plantillas de Azure Resource Manager
Colaborador de supervisión	Suscripción Grupo de recursos Regla de recopilación de datos existente	Para crear o editar reglas de recopilación de datos

Requisitos previos del reenviador de registros

Si va a recopilar mensajes de un reenviador de registros, se aplican los siguientes requisitos previos:

Debe tener una máquina virtual Linux designada como reenviador de registros para recopilar registros.
- Cree una máquina virtual Linux en el Azure Portal.
- Sistemas operativos Linux compatibles con Azure Monitor Agent.
Si el reenviador de registros no es una máquina virtual Azure, debe tener instalado el agente Azure Arc Connected Machine.
La máquina virtual del reenviador de registros de Linux debe tener Instalado Python 2.7 o 3. Use el python --version comando o python3 --version para comprobarlo. Si usa Python 3, asegúrese de que se establece como el comando predeterminado en la máquina o ejecute scripts con el comando "python3" en lugar de "python".
El reenviador de registros debe tener habilitado el syslog-ng demonio o rsyslog .
Para conocer los requisitos de espacio para el reenviador de registros, consulte Azure Monitor Agent Performance Benchmark. También puede revisar esta entrada de blog, que incluye diseños para la ingesta escalable.
Los orígenes de registro, los dispositivos de seguridad y los dispositivos deben configurarse para enviar sus mensajes de registro al demonio de Syslog del reenviador de registros en lugar de a su demonio de Syslog local.

Nota:

Al implementar ama en un conjunto de escalado de máquinas virtuales (VMSS), se recomienda encarecidamente usar un equilibrador de carga que admita el método round robin para garantizar la distribución de carga en todas las instancias implementadas.

Requisitos previos de seguridad de la máquina

Configure la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización. Por ejemplo, configure la red para que se alinee con la directiva de seguridad de red corporativa y cambie los puertos y protocolos del demonio para que se alineen con sus requisitos. Para mejorar la configuración de seguridad de la máquina, proteja la máquina virtual en Azure o revise estos procedimientos recomendados para la seguridad de red.

Si los dispositivos envían registros syslog y CEF a través de TLS porque, por ejemplo, el reenviador de registros está en la nube, debe configurar el demonio de Syslog (rsyslog o syslog-ng) para comunicarse en TLS. Para más información, vea:

Configuración del conector de datos

El proceso de instalación de Syslog a través de AMA o common event format (CEF) mediante conectores de datos AMA incluye los pasos siguientes:

Instale el agente de Azure Monitor y cree una regla de recopilación de datos (DCR) mediante cualquiera de los métodos siguientes:
- Azure o portal de Defender
- API de ingesta de registros de Azure Monitor
Si va a recopilar registros de otras máquinas mediante un reenviador de registros, ejecute el script de "instalación" en el reenviador de registros para configurar el demonio de Syslog para escuchar mensajes de otras máquinas y para abrir los puertos locales necesarios.

Seleccione la pestaña adecuada para obtener instrucciones.

Azure o portal de Defender
API de ingesta de registros

Creación de una regla de recopilación de datos (DCR)

Para empezar, abra Syslog a través de AMA o Common Event Format (CEF) a través del conector de datos AMA en Microsoft Sentinel y cree una regla de recopilación de datos (DCR).

Para Microsoft Sentinel en el Azure Portal, en Configuración, seleccione Conectores de datos.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Conectores de datos de configuración>.
En syslog, escriba Syslog en el cuadro Buscar . En los resultados, seleccione Syslog a través del conector AMA.
En CEF, escriba CEF en el cuadro De búsqueda . En los resultados, seleccione common event format (CEF) a través del conector AMA.
Seleccione Abrir página del conector en el panel de detalles.
En el área Configuración , seleccione +Crear regla de recopilación de datos.
En la pestaña Básico :
- Escriba un nombre dcr.
- Seleccione la suscripción.
- Seleccione el grupo de recursos donde desea buscar la DCR.
Seleccione Siguiente: Recursos >.

Definición de recursos de máquina virtual

En la pestaña Recursos , seleccione las máquinas en las que desea instalar la AMA, en este caso, el equipo del reenviador de registros. Si el reenviador de registros no aparece en la lista, es posible que no tenga instalado el agente Azure Connected Machine.

Use los filtros o el cuadro de búsqueda disponibles para buscar la máquina virtual del reenviador de registros. Expanda una suscripción en la lista para ver sus grupos de recursos y un grupo de recursos para ver sus máquinas virtuales.
Seleccione la máquina virtual del reenviador de registros en la que desea instalar ama. La casilla aparece junto al nombre de la máquina virtual al mantener el puntero sobre él.
Revise los cambios y seleccione Siguiente: Recopilar >.

Selección de instalaciones y gravedades

Tenga en cuenta que el uso de la misma facilidad para los mensajes syslog y CEF puede dar lugar a la duplicación de ingesta de datos. Para obtener más información, consulte Evitación de la duplicación de ingesta de datos.

En la pestaña Recopilar , seleccione el nivel de registro mínimo para cada instalación. Al seleccionar un nivel de registro, Microsoft Sentinel recopila registros para el nivel seleccionado y otros niveles con mayor gravedad. Por ejemplo, si selecciona LOG_ERR, Microsoft Sentinel recopila registros para los niveles de LOG_ERR, LOG_CRIT, LOG_ALERT y LOG_EMERG.
Revise las selecciones y seleccione Siguiente: Revisar y crear.

Revisión y creación de la regla

Después de completar todas las pestañas, revise lo que especificó y cree la regla de recopilación de datos.

En la pestaña Revisar y crear , seleccione Crear.

El conector instala el agente de Azure Monitor en las máquinas que seleccionó al crear la DCR.
Compruebe las notificaciones en el portal de Azure Portal o Microsoft Defender para ver cuándo se crea la DCR y se instala el agente.
Seleccione Actualizar en la página del conector para ver la DCR mostrada en la lista.

Instalación del agente de Azure Monitor

Siga las instrucciones adecuadas de la documentación de Azure Monitor para instalar el agente de Azure Monitor en el reenviador de registros. No olvide usar las instrucciones para Linux, no para Windows.

Puede crear reglas de recopilación de datos (DCR) mediante la API de ingesta de registros de Azure Monitor. Para obtener más información, consulte Reglas de recopilación de datos en Azure Monitor.

Creación de la regla de recopilación de datos

Cree un archivo JSON para la regla de recopilación de datos, cree una solicitud de API y envíe la solicitud.

Prepare un archivo DCR en formato JSON. El contenido de este archivo es el cuerpo de la solicitud en la solicitud de API.

Para obtener un ejemplo, vea Syslog/CEF DCR creation request body (Cuerpo de la solicitud de creación de DCR de Syslog/CEF). Para recopilar mensajes syslog y CEF en la misma regla de recopilación de datos, vea los flujos syslog y CEF de ejemplo en el mismo DCR.
- Compruebe que el streams campo está establecido en Microsoft-Syslog para los mensajes de Syslog, o en Microsoft-CommonSecurityLog para los mensajes CEF.
- Agregue los niveles de registro de filtros y instalaciones en los facilityNames parámetros y logLevels . Consulte las secciones Ejemplos de instalaciones y niveles de registro.
Cree una solicitud de API en un cliente de API REST de su elección.
1. Para la dirección URL y el encabezado de la solicitud, copie la siguiente dirección URL y encabezado de solicitud.
```
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
```
  - Sustituya los valores adecuados por los {subscriptionId} marcadores de posición y {resourceGroupName} .
  - Escriba el nombre que prefiera para el DCR en lugar del {dataCollectionRuleName} marcador de posición.
2. Para el cuerpo de la solicitud, copie y pegue el contenido del archivo JSON de DCR que creó (en el paso 1 anterior) en el cuerpo de la solicitud.
Enviar la solicitud.

Para obtener un ejemplo de la respuesta que debe recibir, vea Syslog/CEF DCR creation response (Respuesta de creación de DCR de Syslog/CEF).

Asociación de dcr con el reenviador de registros

Ahora debe crear una asociación de DCR (DCRA) que ate el DCR al recurso de máquina virtual que hospeda el reenviador de registros.

Cree una solicitud de API en un cliente de API REST de su elección.
Para la dirección URL y el encabezado de la solicitud, copie la siguiente dirección URL de solicitud y el encabezado .
```
PUT 
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
```
- Sustituya los valores adecuados por los {subscriptionId}marcadores de posición , {resourceGroupName}y {virtualMachineName} .
- Escriba el nombre que prefiera para el DCR en lugar del {dataCollectionRuleAssociationName} marcador de posición.
Para el cuerpo de la solicitud, copie el siguiente cuerpo de la solicitud.
```
{
  "properties": {
    "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
  }
}
```
- Sustituya los valores adecuados por los {subscriptionId} marcadores de posición y {resourceGroupName} .
- Escriba el nombre que prefiera para el DCR en lugar del {dataCollectionRuleName} marcador de posición.
Enviar la solicitud.

Ejemplos de instalaciones y secciones de niveles de registro

Revise estos ejemplos de la configuración de los niveles de registro y las instalaciones. El name campo incluye el nombre del filtro.

Para la ingesta de mensajes CEF, el valor de "streams" debe ser "Microsoft-CommonSecurityLog" en lugar de "Microsoft-Syslog".

En este ejemplo se recopilan eventos de las croninstalaciones , daemon, , local3local0y uucp , con los Warningniveles de registro , Error, Critical, Alerty Emergency :

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Flujos syslog y CEF en el mismo DCR

En este ejemplo se muestra cómo puede recopilar mensajes syslog y CEF en el mismo DCR.

DcR recopila mensajes de evento CEF para:

Las authpriv instalaciones y mark con los niveles de Inforegistro , Notice, Warning, Error, Critical, Alerty Emergency
La daemon instalación con los niveles de Warningregistro , Error, Critical, Alerty Emergency

Recopila mensajes de evento de Syslog para:

Las kerninstalaciones , local0, local5y news con los Criticalniveles de registro , Alerty Emergency
Las mail instalaciones y uucp con el nivel de Emergency registro

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Ejecución del script de "instalación"

Si usa un reenviador de registros, configure el demonio de Syslog para que escuche los mensajes de otras máquinas y abra los puertos locales necesarios.

En la página del conector, copie la línea de comandos que aparece en Ejecutar el siguiente comando para instalar y aplicar el recopilador cef:.

Captura de pantalla de la línea de comandos en la página del conector.

O cópielo desde aquí:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Inicie sesión en la máquina del reenviador de registros donde acaba de instalar la AMA.
Pegue el comando que copió en el último paso para iniciar el script de instalación.
El script configura el rsyslog demonio o syslog-ng para que use el protocolo necesario y reinicia el demonio. El script abre el puerto 514 para escuchar los mensajes entrantes en los protocolos UDP y TCP. Para cambiar esta configuración, consulte el archivo de configuración del demonio de Syslog según el tipo de demonio que se ejecuta en el equipo:
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Si usa Python 3 y no está establecido como el comando predeterminado en la máquina, sustituya python3 por python en el comando pegado. Consulte Requisitos previos del reenviador de registros.

Nota:

Para evitar escenarios de disco completo en los que el agente no puede funcionar, se recomienda establecer la syslog-ng configuración o rsyslog para no almacenar los registros innecesarios. Un escenario de disco completo interrumpe la función de la AMA instalada. Para obtener más información, consulte RSyslog o Syslog-ng.
Compruebe el estado del servicio.

Compruebe el estado del servicio AMA en el reenviador de registros:
```
sudo systemctl status azuremonitoragent.service
```
Compruebe el estado del servicio rsyslog:
```
sudo systemctl status rsyslog.service
```
Para entornos syslog-ng, compruebe lo siguiente:
```
sudo systemctl status syslog-ng.service
```

Configuración del dispositivo o dispositivo de seguridad

Para obtener instrucciones para configurar el dispositivo o dispositivo de seguridad, consulte uno de los artículos siguientes:

Para obtener más información sobre el dispositivo o dispositivo, póngase en contacto con el proveedor de soluciones.

Prueba del conector

Compruebe que los mensajes de registro de la máquina Linux o dispositivos y dispositivos de seguridad se ingieren en Microsoft Sentinel.

Para validar que el demonio de Syslog se está ejecutando en el puerto UDP y que ama está escuchando, ejecute este comando:
```
 netstat -lnptv
```
Debería ver el demonio o syslog-ng escuchando en el rsyslog puerto 514.
Para capturar los mensajes enviados desde un registrador o un dispositivo conectado, ejecute este comando en segundo plano:
```
sudo tcpdump -i any port 514 or 28330 -A -vv &
```
Después de completar la validación, detenga tcpdump. Escriba fgy, a continuación, seleccione Ctrl+C.

Envío de mensajes de prueba

Para enviar mensajes de demostración, complete uno de los pasos siguientes:

Use la nc utilidad netcat. En este ejemplo, la utilidad lee los datos publicados a través del echo comando con el modificador newline desactivado. A continuación, la utilidad escribe los datos en el puerto 514 UDP en localhost sin tiempo de espera. Para ejecutar la utilidad netcat, es posible que tenga que instalar otro paquete.
```
echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
```
Use el logger comando . En este ejemplo se escribe el mensaje en la instalación, en el local 4 nivel Warningde gravedad , en el puerto 514, en el host local, en el formato RFC cef. Las -t marcas y --rfc3164 se usan para cumplir con el formato RFC esperado.
```
logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|rt=$common=event-formatted-receive_time"
```
Pruebe la ingesta de Cisco ASA mediante el siguiente comando:
```
echo -n "<164>%ASA-7-106010: Deny inbound TCP src inet:1.1.1.1 dst inet:2.2.2.2" | nc -u -w0 localhost 514
```
Después de ejecutar estos comandos, los mensajes llegan al puerto 514 y se reenvía al puerto 28330.
Después de enviar mensajes de prueba, consulte el área de trabajo de Log Analytics. Los registros pueden tardar hasta 20 minutos en aparecer en el área de trabajo.

Para los registros cef:

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceProduct == "MOCK"

Para los registros de Cisco ASA:

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceVendor == "Cisco"
| where DeviceProduct == "ASA"

Solución de problemas adicional

Si no ve tráfico en el puerto 514 o los mensajes de prueba no se ingieren, consulte Solución de problemas de Syslog y CEF a través de conectores AMA para Microsoft Sentinel solucionar problemas.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23