Log Analytics ワークスペースへのカスタムログ収集

Microsoft Sentinel を利用していく中で、データコネクタに対応していない製品のログを取り込み、分析を行いたいという要望をいただくことがあります。

データコネクタに対応している場合は、簡単に対象の製品と接続しログを取り込むことができますが、データコネクタに対応していない製品は、カスタムログとして取り込む方法を考える必要があります。

Log Analytics ワークスペースでは、 Azure Monitor Agent を活用し、 Azure 上に構築した Virtual Machine（以下、VM）から、テキスト形式のログを収集することが可能です。

本記事では、Azure 上に構築した Windows OS の VM から Log Analytics ワークスペースへのカスタムログを収集する方法についてご紹介させていただきます。

カスタムログの取得手順
ログの確認
最後に

カスタムログの取得手順

事前準備

カスタムログの収集を行うにあたり、以下を準備してください。

Log Analytics ワークスペース
カスタムログを配置する VM
Json 形式のテキストログファイル

※取り込み対象の Log Analytics ワークスペースは事前に作成してください。
※作業を行う前に、カスタムログを配置する VM にログファイルを格納し、ファイルパスをメモしてください。
※本記事では、事前に VM 上の「C」直下に「log」フォルダを作成し「testlog.json」を配置します。

データ収集エンドポイントの作成

まず、データ収集エンドポイントを作成します。

データ収集エンドポイントは、 VM に格納されているカスタムログを Log Analytics ワークスペースに転送するために利用されます。

Azure トップページより「モニター」を検索します。
「設定」タブ内の「データ収集エンドポイント」を選択し「＋作成」を選択します。
「基本」～「タグ」タブにて必要な値を入力し設定の内容を確認し、問題なければ「確認と作成」を選択します。
作成したデータ収集エンドポイントを選択し、「Configuration」タブ内の「リソース」を選択します。
「＋追加」よりカスタムログを配置する VM を選択し、「適用」を選択します。

データ収集ルールの作成

Log Analytics にカスタムログを取り込む際には、データ収集ルールを作成し、取り込むログを定義する必要があります。

Azure トップページより「Log Analytics ワークスペース」を検索します。
取り込み対象の Log Analytics ワークスペースを選択し「設定」タブ内の「テーブル」を選択します。
「＋作成」を選択し「新しいカスタムログ（DCRベース）」を選択します。
「基本」タブに値を入力し、同時にデータ収集ルールも作成します。
※後述の手順で必要になるため、テーブル名はメモしてください。
「スキーマと変換」タブにて取り込む予定のカスタムログをアップロードします。*1
アップロード後、必要に応じてクエリで取り込むログテーブルの修正を行います。*2
※後述の手順で使うため、記載したクエリをメモしてください。
設定内容を確認し「作成」を選択します。
Azure トップページより「モニター」を検索します。
「設定」タブ内の「データ収集ルール」を選択し、手順4で作成したデータ収集ルールを選択します。
Configurationタブ内の「リソース」を選択しデータ収集エンドポイントで選択した VM を選択し適用します。
※ 適用後、「Azure Monitor Agent」が自動でインストールされます。
Configurationタブ内の「データソース」を選択し「＋追加」を選択します。
「データソース」タブにて「カスタムテキストログ」を選択します。
各項目に以下の内容を入力します。入力後「ターゲット」を選択します。
- ファイルパターン：カスタムログを配置した VM 上のファイルパス
- テーブル名：手順4で作成したテーブル名
- Transform：手順6で入力したクエリ
「ターゲット」タブにて、格納先の Log Analytics ワークスペースを選択します。
設定値に問題が無ければ「データソースの追加」を選択します。