Syslog ja Yleinen tapahtumamuoto (CEF) AMA-liittimien kautta Microsoft Sentinel varten

Syslog AMA:n ja Common Event Formatin (CEF) kautta AMA-tietoyhdistimien kautta Microsoft Sentinel suodattaa ja käyttää Syslog-viestejä, mukaan lukien common event format (CEF) -viestejä, Linux koneista sekä verkko- ja suojauslaitteista ja laitteista. Nämä liittimet asentavat Azure Monitor Agentin (AMA) mihin tahansa Linux koneeseen, josta haluat kerätä Syslog- ja/tai CEF-viestejä. Tämä kone voi olla viestien alkuperäinen, tai se voi olla edelleenlähetystoiminto, joka kerää viestejä muista koneista, kuten verkko- tai suojauslaitteista ja laitteista. Liitin lähettää agenttien ohjeet määrittämiensä tiedonkeräyssääntöjen (DCR) perusteella. DcR-asetukset määrittävät järjestelmät, joita valvotaan, sekä kerättävien lokien tai viestien tyypit. Ne määrittävät suodattimia, joita käytetään viesteihin ennen niiden käyttöä. Ne parantavat suorituskykyä ja tehostavat kyselyiden ja analyysien suorittamista.

Syslog ja CEF ovat kaksi yleistä muotoa tietojen kirjaamiseen eri laitteista ja sovelluksista. Ne auttavat järjestelmänvalvojia ja suojausanalyytikoita seuraamaan ja tekemään vianmääritystä verkossa sekä tunnistamaan mahdollisia uhkia tai tapauksia.

Mikä syslog on?

Syslog on vakioprotokolla viestien lähettämiseen ja vastaanottamiseen eri laitteiden tai sovellusten välillä verkon kautta. Se kehitettiin alun perin Unix-järjestelmiä varten, mutta sitä tukevat nyt laajalti eri ympäristöt ja toimittajat. Syslog-viesteissä on ennalta määritetty rakenne, joka koostuu prioriteetista, aikaleimasta, isäntänimestä, sovelluksen nimestä, prosessitunnuksesta ja viestin tekstistä. Syslog-viestejä voidaan lähettää UDP:n, TCP:n tai TLS:n kautta määritysten ja suojausvaatimusten mukaan.

Azure Monitor Agent (AMA) tukee Syslog-viestejä, jotka on muotoiltu RFC 3164:n (BSD Syslog) ja RFC 5424:n (IETF Syslog) mukaisesti.

Mikä on yleinen tapahtumamuoto (CEF)?

CEF eli Common Event Format on toimittajaneutraali muoto tietojen kirjaamiseen verkosta ja suojauslaitteista ja laitteista, kuten palomuurit, reitittimet, tunnistamis- ja reagointiratkaisut sekä luvattoman käytön tunnistusjärjestelmät sekä muunlaiset järjestelmät, kuten verkkopalvelimet. Syslog-laajennus on kehitetty erityisesti suojaustietoihin ja tapahtumienhallintaratkaisuihin (SIEM). CEF-viesteissä on vakiootsikko, joka sisältää tietoja, kuten laitteen toimittajan, laitteen tuotteen, laitteen version, tapahtumaluokan, tapahtuman vakavuuden ja tapahtumatunnuksen. CEF-viesteissä on myös vaihteleva määrä tunnisteita, jotka antavat lisätietoja tapahtumasta, kuten lähde- ja kohde-IP-osoitteet, käyttäjänimen, tiedostonimen tai toteutetun toiminnon.

Kokoelma Syslog- ja CEF-viestejä, joissa on AMA

Seuraavissa kaavioissa havainnollistetaan Syslog- ja CEF-viestien keräämisen arkkitehtuuria Microsoft Sentinel käyttäen Syslog-komentoa AMA:n kautta ja Common Event Formatia (CEF) AMA-liittimien kautta.

Yksittäinen kone (syslog)
Lokinsiirto (syslog/CEF)

Tässä kaaviossa näytetään Syslog-viestit, jotka kerätään yksittäisestä Linux näennäiskoneesta, johon Azure Monitor Agent (AMA) on asennettu.

Syslog-kokoelman kaavio yhdestä lähteestä.

Tietojen käsittelyprosessi, jossa käytetään Azure Valvonta-agenttia, käyttää seuraavia osia ja tietovuokulkuja:

Lokilähteet ovat eri Linux näennäiskoneita ympäristössäsi, jotka tuottavat Syslog-viestejä. Paikallinen Syslog-daemon kerää nämä viestit TCP- tai UDP-portissa 514 (tai jossakin toisessa portissa haluamallasi tavalla).
Paikallinen Syslog-daemon (tai rsyslogsyslog-ng) kerää lokiviestit TCP- tai UDP-portissa 514 (tai toisessa portissa haluamasi mukaan). Sitten daemon lähettää nämä lokit Azure Monitor Agentille kahdella eri tavalla AMA-version mukaan:
- AMA-versiot 1.28.11 ja uudemmat saavat lokeja TCP-portissa 28330.
- AMA:n aiemmat versiot vastaanottavat lokeja Unix-toimialueen vastakkeen kautta.
Jos haluat käyttää muuta porttia kuin 514 Syslog/CEF-viestien vastaanottamiseen, varmista, että Syslog-daemonin porttimääritykset vastaavat viestejä luovan sovelluksen porttimääritystä.
Azure valvonta-agentti, jonka asennat jokaiseen Linux näennäiskoneeseen, josta haluat kerätä Syslog-viestejä, määrittämällä tietoyhdistimen. Agentti jäsentää lokit ja lähettää ne sitten Microsoft Sentinel (Log Analytics) -työtilaan.
Microsoft Sentinel (Log Analytics) -työtila: Tähän lähetetyt Syslog-viestit päätyvät Syslog-taulukkoon, jossa voit tehdä lokeille kyselyjä ja suorittaa niille analyyseja suojausuhkien havaitsemiseksi ja niihin vastaamiseksi.

Tässä kaaviossa näytetään Syslog- ja CEF-viestit, jotka on kerätty Linux lokinsiirtokoneesta, johon Azure Monitor Agent (AMA) on asennettu. Tämä lokinsiirto kerää Syslog- ja CEF-viestejä niiden alkuperäkoneista, laitteista tai laitteista.

Tietojen käsittelyprosessi, jossa käytetään Azure Valvonta-agenttia, käyttää seuraavia osia ja tietovuokulkuja:

Lokilähteet ovat ympäristösi eri suojauslaitteita ja laitteita, jotka tuottavat lokiviestejä CEF-muodossa tai tavallisessa Syslog-muodossa. Nämä laitteet on määritetty lähettämään lokiviestinsä TCP- tai UDP-portin 514 kautta (tai muun portin haluamallasi tavalla), ei paikalliseen Syslog-daemoniin, vaan log-edelleenlähetystoiminnon Syslog-daemoniin.
Lokinsiirto on erillinen Linux näennäiskone, jonka organisaatiosi määrittää keräämään lokiviestit Syslog- ja CEF-lokilähteistä. Näennäiskone voi olla paikallinen, Azure tai toisessa pilvipalvelussa. Tällä log forwarderilla on kaksi osaa:
- Syslog-daemon (joko rsyslog tai syslog-ng) kerää lokiviestit TCP- tai UDP-portissa 514 (tai jossakin toisessa portissa haluamallasi tavalla). Sitten daemon lähettää nämä lokit Azure Monitor Agentille kahdella eri tavalla AMA-version mukaan:
  - AMA-versiot 1.28.11 ja uudemmat saavat lokeja TCP-portissa 28330.
  - AMA:n aiemmat versiot vastaanottavat lokeja Unix-toimialueen vastakkeen kautta.
  Jos haluat käyttää muuta porttia kuin 514 Syslog/CEF-viestien vastaanottamiseen, varmista, että Syslog-daemonin porttimääritykset vastaavat viestejä luovan sovelluksen porttimääritystä.
- Azure Valvonta-agentti, jonka asennat lokinsiirtoon määrittämällä Syslog- ja/tai CEF-tietoliittimet. Agentti jäsentää lokit ja lähettää ne sitten Microsoft Sentinel (Log Analytics) -työtilaan.
Microsoft Sentinel (Log Analytics) -työtila: tähän lähetetyt CEF-lokit päätyvät CommonSecurityLog-taulukkoon ja Syslog-viestit Syslog-taulukkoon. Siellä voit tehdä kyselyjä lokeista ja suorittaa niille analyyseja tietoturvauhkien havaitsemiseksi ja niihin vastaamiseksi.

Huomautus

Kun käytät syslog-tietoja lokinläiljän ja Azure Monitor Agentin (AMA) avulla, - ja EventTime -TimeGeneratedkenttien välillä voi ilmetä epäjohdonmukaisuuksia.

TimeGenerated kuvastaa UTC-aikaa, jolloin log forwarderia tai keräintä isännöivä kone käsitteli syslog-sanoman.
EventTime poimitaan syslog-otsikosta, joka ei sisällä aikavyöhyketietoja ja muunnetaan UTC-muotoon käyttämällä välitys-/keräimen paikallista aikavyöhykkeen siirtymää.

Tämä voi johtaa eroihin kahden kentän välillä, kun edelleenlähetys/keräin ja lokia muodostava laite ovat eri aikavyöhykkeillä.

Asennusprosessi lokiviestien keräämiseksi

Asenna Microsoft Sentinel sisältökeskuksesta oikea ratkaisu Syslokiin tai Yleiseen tapahtumamuotoon. Tämä vaihe asentaa vastaavat tietoliittimet Syslog AMA:n tai Common Event Formatin (CEF) kautta AMA-tietoliittimen kautta. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

Luo osana määritysprosessia tiedonkeräyssääntö ja asenna Azure Monitor Agent (AMA) lokinläiljälle. Voit tehdä näitä tehtäviä joko Azure- tai Microsoft Defender portaalin avulla tai Azure Monitor logs ingestion -ohjelmointirajapinnan avulla.

Kun määrität Microsoft Sentinel tietoyhdistimen Azure- tai Microsoft Defender-portaalissa, voit luoda, hallita ja poistaa dcr-pyyntöjä työtilaa kohden. AMA asennetaan automaattisesti virtuaalikoneisiin, jotka valitset liittimen määrityksessä.
Vaihtoehtoisesti voit lähettää HTTP-pyyntöjä Logs Ingestion -ohjelmointirajapintaan. Tämän asennuksen avulla voit luoda, hallita ja poistaa dcr-pyyntöjä. Tämä vaihtoehto on portaalia joustavampi. Esimerkiksi ohjelmointirajapinnan avulla voit suodattaa tiettyjen lokitasojen mukaan. Azure tai Defender-portaalissa voit valita vain vähimmäislokitason. Tämän menetelmän huono puoli on se, että sinun on asennettava Azure Monitor Agent manuaalisesti lokinsiirtoon ennen DCR:n luomista.

Kun olet luonut DCR:n ja AMA on asennettu, suorita "installation"-komentosarja lokinsiirtoon. Tämä komentosarja määrittää Syslog-daemonin kuuntelemaan muiden koneiden viestejä ja avaamaan tarvittavat paikalliset portit. Määritä sitten suojauslaitteet tai -laitteet tarpeen mukaan.

Lisätietoja on seuraavissa artikkeleissa:

Tietojen käsittelyjen päällekkäisyyden välttäminen

Saman tilan käyttäminen sekä Syslog- että CEF-viesteissä saattaa johtaa tietojen käsittelykommenttiin CommonSecurityLog- ja Syslog-taulukoiden välillä.

Voit välttää tämän käyttämällä jotakin seuraavista menetelmistä:

Jos lähdelaite mahdollistaa kohdetilan määrityksen: Muokkaa Syslog-määritystiedostoa jokaisessa lähdekoneessa, joka lähettää lokeja lokitiedostoon CEF-muodossa, jotta voit poistaa CEF-viestien lähettämiseen käytetyt tilat. Tällä tavalla CEF:ssä lähetettyjä tiloja ei lähetetä myös Syslogissa. Varmista, että jokainen määrittämäsi DCR käyttää vastaavaa CEF- tai Syslog-toimintoa.

Jos haluat nähdä esimerkin siitä, miten voit järjestää DCR:n käyttämään sekä Syslog- että CEF-viestejä samalta agentilta, siirry saman DCR:n Syslog- ja CEF-virtoihin.
Jos lähdelaitteen tilan vaihtaminen ei ole käytettävissä: Kun olet luonut DCR:n, lisää käsittelyajan muunnos, jotta CEF-viestit voidaan suodattaa pois Syslog-virrasta päällekkäisyyden välttämiseksi. Katso Opetusohjelma: Tietojen keräämisen säännön (DCR) muokkaaminen. Lisää KQL-muunnos seuraavan esimerkin mukaisesti:
```
"transformKql": "  source\n    |  where ProcessName !contains \"CEF\"\n"
```

Seuraavat vaiheet

Tietoyhdistimien määrittäminen

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23