使用 Log Analytics 代理将数据以自定义日志格式收集到 Microsoft Sentinel

项目
01/19/2024

许多应用程序将数据记录到文本文件，而不是标准日志记录服务（如 Windows 事件日志或 Syslog）。可以使用 Log Analytics 代理从 Windows 和 Linux 计算机的非标准格式的文本文件中收集数据。在收集后，可以将数据分析到查询中的各个字段，或者在收集期间将数据提取到各个字段。

本文介绍如何使用自定义日志格式将数据源连接到 Microsoft Sentinel。有关使用此方法的支持数据连接器的详细信息，请参阅数据连接器参考。

重要

Log Analytics 代理将于 2024 年 8 月 31 日停用。如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理，我们建议你开始计划到 AMA 的迁移。有关详细信息，请参阅 Microsoft Sentinel 的 AMA 迁移。

若要详细了解自定义日志，请参阅 Azure Monitor 文档。

安装 Log Analytics 代理

在将生成日志的 Linux 或 Windows 计算机上安装 Log Analytics 代理。

某些供应商建议将 Log Analytics 代理安装在单独的日志服务器上，而不是直接安装在设备上。请查看数据连接器参考页上的产品部分或产品自己的文档。

根据连接器是否是 Microsoft Sentinel 内容中心中列出的解决方案的一部分，选择下面的相应选项卡。

来自特定的数据连接器页
其他数据源

在开始之前，请从 Microsoft Sentinel 中的内容中心安装适用于产品的解决方案。有关详细信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。一旦产品的数据连接器可用，请继续执行以下步骤。

在 Microsoft Sentinel 导航菜单中，选择“数据连接器”。
搜索并选择相应的产品数据连接器。
选择“打开连接器页”。

在生成日志的设备上安装并加入代理。根据需要选择“Linux”或“Windows”。

计算机类型	Instructions
对于 Azure Linux VM	在“选择安装 Linux 代理的位置”下，展开“在 Azure Linux 虚拟机上安装代理”。选择“下载并安装用于 Azure Linux 虚拟机的代理 >”链接。在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。对于要连接的每个 VM，重复此步骤。
对于任何其他 Linux 计算机	在“选择安装 Linux 代理的位置”下，展开“在非 Azure Linux 计算机上安装代理”。选择“下载并安装用于非 Azure Linux 虚拟机的代理 >”链接。在“代理管理”边栏选项卡中，选择“Linux 服务器”选项卡，然后复制用于“下载和载入适用于 Linux 的代理”的命令并在 Linux 计算机上运行。如果要保留 Linux 代理安装文件的本地副本，请选择“下载和载入代理”命令上方的“下载 Linux 代理”链接。
对于 Azure Windows VM	在“选择安装 Windows 代理的位置”下，展开“在 Azure Windows 虚拟机上安装代理”。选择“下载并安装用于 Azure Windows 虚拟机的代理 >”链接。在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。对于要连接的每个 VM，重复此步骤。
对于任何其他 Windows 计算机	在“选择安装 Windows 代理的位置”下，展开“在非 Azure Windows 计算机上安装代理” 选择“下载并安装用于非 Azure Windows 计算机的代理 >”链接。在“代理管理”边栏选项卡的“Windows 服务器”选项卡上，根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接。

从 Microsoft Sentinel 导航菜单中，选择“设置”，然后选择“工作区设置”选项卡。

在生成日志的设备上安装并加入代理。根据需要选择“Linux”或“Windows”。

计算机类型	Instructions
Azure VM（Windows 或 Linux）	从 Log Analytics 工作区导航菜单中，选择“虚拟机”。在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。对于要连接的每个 VM，重复此步骤。
任何其他 Windows 或 Linux 计算机	从 Log Analytics 工作区导航菜单中，选择“代理管理”。根据需要选择“Windows 服务器”或“Linux 服务器”选项卡。对于 Windows，根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接。对于 Linux，复制用于“下载和载入适用于 Linux 的代理”的命令并通过命令行运行它，或选择“下载 Linux 代理”链接以下载安装文件的本地副本。

计算机类型

Instructions

Azure VM（Windows 或 Linux）

从 Log Analytics 工作区导航菜单中，选择“虚拟机”。
在“虚拟机”边栏选项卡中，选择要安装代理的虚拟机，然后选择“连接”。
对于要连接的每个 VM，重复此步骤。

任何其他 Windows 或 Linux 计算机

从 Log Analytics 工作区导航菜单中，选择“代理管理”。
根据需要选择“Windows 服务器”或“Linux 服务器”选项卡。
对于 Windows，根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接。对于 Linux，复制用于“下载和载入适用于 Linux 的代理”的命令并通过命令行运行它，或选择“下载 Linux 代理”链接以下载安装文件的本地副本。

配置要收集的日志

许多设备类型都有自己的数据连接器，它们显示在 Microsoft Sentinel 的“数据连接器”页中。其中一些连接器需要特殊的额外说明，以便在 Microsoft Sentinel 中正确设置日志收集。这些说明可能包含基于 Kusto 函数的分析程序的实现。

在 Microsoft Sentinel 中列出的所有连接器都将在门户中各自的连接器页面，以及 Microsoft Sentinel 数据连接器参考页面的相应部分中显示任何特定的说明。

如果产品解决方案不包含内容中心中列出的数据连接器，请参阅供应商的文档，以获取有关为设备配置日志记录的说明。

配置 Log Analytics 代理

从连接器页中，选择“打开工作区自定义日志配置”链接。

或者，从 Log Analytics 工作区导航菜单中，选择“自定义日志”。
在“自定义表”选项卡中，选择“添加自定义日志”。
在“示例”选项卡上，从设备上传日志文件的示例（例如，access.log 或 error.log）。然后，选择“下一步” 。
在“记录分隔符”选项卡中，选择记录分隔符“换行符”或“时间戳”（参见有关该选项卡的说明），然后选择“下一步”。
在“集合路径”选项卡中，选择路径类型“Windows”或“Linux”，并根据配置输入设备的日志路径。然后，选择“下一步” 。
为自定义日志指定名称和说明（可选），然后选择“下一步”。
名称不要以“_CL”结尾，因为它将自动追加。

查找数据

若要在“日志”中查询自定义日志数据，请在查询窗口中键入为自定义日志（以“_CL”结尾）指定的名称。

后续步骤

本文档介绍了如何收集自定义日志类型中的数据以引入到 Microsoft Sentinel 中。若要详细了解 Microsoft Sentinel，请参阅以下文章：