Microsoft Sentinelの AMA コネクタを介した Syslog と共通イベント形式 (CEF)

AMA 経由の Syslog と AMA データコネクタを介した共通イベント形式 (CEF) により、Microsoft Sentinel Linux マシンから、およびネットワークおよびセキュリティデバイスおよびアプライアンスから、共通イベント形式 (CEF) のメッセージを含む Syslog メッセージをフィルター処理および取り込みます。これらのコネクタは、syslog メッセージや CEF メッセージを収集するLinux マシンに、Azure Monitor Agent (AMA) をインストールします。このマシンは、メッセージの発信元であるか、ネットワークやセキュリティデバイスやアプライアンスなどの他のマシンからメッセージを収集するフォワーダーである可能性があります。コネクタは、定義したデータ収集規則 (DCR) に基づいてエージェントの指示を送信します。 DCR は、監視するシステムと、収集するログまたはメッセージの種類を指定します。メッセージを取り込む前に適用するフィルターを定義し、パフォーマンスを向上させ、クエリと分析を効率的にします。

Syslog と CEF は、さまざまなデバイスとアプリケーションからのデータをログに記録するための 2 つの一般的な形式です。システム管理者やセキュリティアナリストがネットワークを監視およびトラブルシューティングし、潜在的な脅威やインシデントを特定するのに役立ちます。

Syslog とは

Syslog は、ネットワーク経由で異なるデバイスまたはアプリケーション間でメッセージを送受信するための標準プロトコルです。もともと Unix システム用に開発されましたが、現在はさまざまなプラットフォームやベンダーによって広くサポートされています。 Syslog メッセージには、優先順位、タイムスタンプ、ホスト名、アプリケーション名、プロセス ID、メッセージテキストで構成される定義済みの構造があります。 Syslog メッセージは、構成とセキュリティ要件に応じて、UDP、TCP、または TLS 経由で送信できます。

Azure モニターエージェント (AMA) は、RFC 3164 (BSD Syslog) と RFC 5424 (IETF Syslog) に従って書式設定された Syslog メッセージをサポートします。

一般的なイベント形式 (CEF) とは

CEF (共通イベント形式) は、ファイアウォール、ルーター、検出および応答ソリューション、侵入検出システムなどのネットワークおよびセキュリティデバイスとアプライアンス、および Web サーバーなどの他の種類のシステムからのデータをログに記録するためのベンダーに依存しない形式です。 Syslog の拡張機能は、特にセキュリティ情報とイベント管理 (SIEM) ソリューション用に開発されました。 CEF メッセージには、デバイスベンダー、デバイス製品、デバイスバージョン、イベントクラス、イベント重大度、イベント ID などの情報を含む標準ヘッダーがあります。 CEF メッセージには、ソースと宛先の IP アドレス、ユーザー名、ファイル名、実行されたアクションなど、イベントに関する詳細を提供するさまざまな拡張機能もあります。

AMA を使用した Syslog メッセージと CEF メッセージの収集

次の図は、AMA 経由の Syslog と AMA コネクタ経由の共通イベント形式 (CEF) を使用した、Microsoft Sentinelでの Syslog および CEF メッセージ収集のアーキテクチャを示しています。

単一マシン (syslog)
ログフォワーダー (syslog/CEF)

この図は、Azure Monitor Agent (AMA) がインストールされている単一の個別のLinux仮想マシンから収集される Syslog メッセージを示しています。

単一ソースからの Syslog 収集の図。

Azure Monitor エージェントを使用するデータインジェストプロセスでは、次のコンポーネントとデータフローが使用されます。

ログソースは、Syslog メッセージを生成する環境内のさまざまなLinux VM です。これらのメッセージは、TCP または UDP ポート 514 (または好みに応じて別のポート) のローカル Syslog デーモンによって収集されます。
ローカル Syslog デーモン ( rsyslog または syslog-ng) は、TCP または UDP ポート 514 (または好みに応じて別のポート) でログメッセージを収集します。その後、デーモンは、AMA のバージョンに応じて、次の 2 つの異なる方法でこれらのログをAzure Monitor エージェントに送信します。
- AMA バージョン 1.28.11 以降は 、TCP ポート 28330 でログを受信します。
- 以前のバージョンの AMA は、Unix ドメインソケットを介してログを受信します。
Syslog/CEF メッセージを受信するために 514 以外のポートを使用する場合は、Syslog デーモンのポート構成が、メッセージを生成するアプリケーションのポート構成と一致していることを確認してください。
データコネクタを設定して Syslog メッセージを収集する各Linux VM にインストールするAzure モニターエージェント。エージェントはログを解析し、Microsoft Sentinel (Log Analytics) ワークスペースに送信します。
Microsoft Sentinel (Log Analytics) ワークスペース: ここで送信された Syslog メッセージは Syslog テーブルに表示され、ログを照会して分析を実行してセキュリティの脅威を検出して対応できます。

この図は、Azure Monitor Agent (AMA) がインストールされているLinux ベースのログ転送マシンから収集される Syslog および CEF メッセージを示しています。このログフォワーダーは、送信元のマシン、デバイス、またはアプライアンスから Syslog メッセージと CEF メッセージを収集します。

Azure Monitor エージェントを使用するデータインジェストプロセスでは、次のコンポーネントとデータフローが使用されます。

ログソース は、CEF 形式またはプレーン Syslog でログメッセージを生成する、環境内のさまざまなセキュリティデバイスとアプライアンスです。これらのデバイスは、ローカル Syslog デーモン ではなく 、 ログフォワーダーの Syslog デーモンに、TCP または UDP ポート 514 (または設定に応じて別のポート) 経由でログメッセージを送信するように構成されています。
ログフォワーダーは、Syslog および CEF ログソースからログメッセージを収集するためにorganizationが設定する専用のLinux VM です。 VM は、オンプレミス、Azure、または別のクラウドで使用できます。このログフォワーダー自体には、次の 2 つのコンポーネントがあります。
- Syslog デーモン (rsyslogまたはsyslog-ng) は、TCP または UDP ポート 514 (またはお客様の好みに応じて別のポート) でログメッセージを収集します。その後、デーモンは、AMA のバージョンに応じて、次の 2 つの異なる方法でこれらのログをAzure Monitor エージェントに送信します。
  - AMA バージョン 1.28.11 以降は 、TCP ポート 28330 でログを受信します。
  - 以前のバージョンの AMA は、Unix ドメインソケットを介してログを受信します。
  Syslog/CEF メッセージを受信するために 514 以外のポートを使用する場合は、Syslog デーモンのポート構成が、メッセージを生成するアプリケーションのポート構成と一致していることを確認してください。
- Syslog または CEF データコネクタを設定して、ログフォワーダーにインストールするAzure モニターエージェント。エージェントはログを解析し、Microsoft Sentinel (Log Analytics) ワークスペースに送信します。
Microsoft Sentinel (Log Analytics) ワークスペース: ここで送信された CEF ログは、CommonSecurityLog テーブルと Syslog テーブル内の Syslog メッセージになります。ログに対してクエリを実行し、そのログに対して分析を実行して、セキュリティ上の脅威を検出して対応できます。

注:

ログフォワーダーと Azure Monitor Agent (AMA) を使用して syslog データを取り込むと、TimeGenerated フィールドと EventTime フィールド間で不整合が発生する可能性があります。

TimeGenerated は、ログフォワーダーまたはコレクターをホストしているマシンによって syslog メッセージが処理された UTC 時刻を反映します。
EventTime は syslog ヘッダーから抽出され、タイムゾーン情報は含まれません。フォワーダー/コレクターのローカルタイムゾーンオフセットを使用して UTC に変換されます。

これにより、フォワーダー/コレクターとログを生成するデバイスが異なるタイムゾーンにある場合、2 つのフィールドの違いにつながる可能性があります。

ログメッセージを収集するためのセットアッププロセス

Microsoft Sentinelの Content ハブから、Syslog または Common Event Format に適したソリューションをインストールします。この手順では、AMA または AMA データコネクタを介して共通イベント形式 (CEF) を介して、それぞれのデータコネクタ Syslog をインストールします。詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。

セットアッププロセスの一環として、データ収集ルールを作成し、ログフォワーダーにAzure Monitor Agent (AMA) をインストールします。これらのタスクは、AzureまたはMicrosoft Defender ポータルを使用するか、Azure Monitor ログインジェスト API を使用して実行します。

AzureまたはMicrosoft Defender ポータルでMicrosoft Sentinelのデータコネクタを構成する場合は、ワークスペースごとに DCR を作成、管理、削除できます。 AMA は、コネクタ構成で選択した VM に自動的にインストールされます。
または、ログインジェスト API に HTTP 要求を送信します。このセットアップでは、DCR を作成、管理、削除できます。このオプションは、ポータルよりも柔軟です。たとえば、API では、特定のログレベルでフィルター処理できます。 Azureまたは Defender ポータルでは、最小ログレベルのみを選択できます。この方法を使用する欠点は、DCR を作成する前に、ログフォワーダーにAzure Monitor エージェントを手動でインストールする必要があるということです。

DCR を作成し、AMA がインストールされたら、ログフォワーダーで "インストール" スクリプトを実行します。このスクリプトは、他のマシンからのメッセージをリッスンし、必要なローカルポートを開く Syslog デーモンを構成します。次に、必要に応じてセキュリティデバイスまたはアプライアンスを構成します。

詳細については、次の記事を参照してください。

データインジェストの重複回避

Syslog メッセージと CEF メッセージの両方に同じ機能を使用すると、CommonSecurityLog テーブルと Syslog テーブル間でデータインジェストが重複する可能性があります。

このシナリオを回避するには、次のいずれかの方法を使用します。

ソースデバイスがターゲット機能の構成を有効にする場合: CEF 形式でログをログフォワーダーに送信する各ソースマシンで、Syslog 構成ファイルを編集して、CEF メッセージの送信に使用される機能を削除します。このようにすると、CEF で送信されたファシリティも Syslog で送信されません。構成する各 DCR で、CEF または Syslog に関連する機能がそれぞれ使用されていることを確認します。

同じエージェントから Syslog メッセージと CEF メッセージの両方を取り込む DCR を配置する方法の例を確認するには、同じ DCR 内の Syslog ストリームと CEF ストリームに移動します。
ソースアプライアンスの機能を変更できない場合: DCR を作成した後、インジェスト時間変換を追加して Syslog ストリームから CEF メッセージを除外して重複を回避します。「チュートリアル: データ収集ルール (DCR) を編集する」を参照してください。次の例のような KQL 変換を追加します。
```
"transformKql": "  source\n    |  where ProcessName !contains \"CEF\"\n"
```

次の手順

データコネクタを設定する

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-23