Microsoft Sentinel を利用していく中で、データコネクタに対応していない製品のログを取り込み、分析を行いたいという要望をいただくことがあります。
データコネクタに対応している場合は、簡単に対象の製品と接続しログを取り込むことができますが、データコネクタに対応していない製品は、カスタムログとして取り込む方法を考える必要があります。
Log Analytics ワークスペースでは、 Azure Monitor Agent を活用し、 Azure 上に構築した Virtual Machine(以下、VM) から、テキスト形式のログを収集することが可能です。
本記事では、Azure 上に構築した Windows OS の VM から Log Analytics ワークスペースへのカスタムログを収集する方法についてご紹介させていただきます。
カスタムログの取得手順
事前準備
カスタムログの収集を行うにあたり、以下を準備してください。
- Log Analytics ワークスペース
- カスタムログを配置する VM
- Json 形式のテキストログファイル
※取り込み対象の Log Analytics ワークスペースは事前に作成してください。
※作業を行う前に、カスタムログを配置する VM にログファイルを格納し、ファイルパスをメモしてください。
※本記事では、事前に VM 上の 「C」 直下に「log」フォルダを作成し「testlog.json」を配置します。
データ収集エンドポイントの作成
まず、データ収集エンドポイント を作成します。
データ収集エンドポイント は、 VM に格納されているカスタムログを Log Analytics ワークスペースに転送するために利用されます。
- Azure トップページより「モニター」を検索します。
- 「設定」タブ内の「データ収集エンドポイント」を選択し「+作成」を選択します。
- 「基本」~「タグ」タブにて必要な値を入力し設定の内容を確認し、問題なければ「確認と作成」を選択します。
- 作成したデータ収集エンドポイントを選択し、「Configuration」タブ内の「リソース」を選択します。
- 「+追加」よりカスタムログを配置する VM を選択し、「適用」を選択します。
データ収集ルールの作成
Log Analytics にカスタムログを取り込む際には、データ収集ルールを作成し、取り込むログを定義する必要があります。
- Azure トップページより「Log Analytics ワークスペース」を検索します。
- 取り込み対象の Log Analytics ワークスペースを選択し「設定」タブ内の「テーブル」を選択します。
- 「+作成」を選択し「新しいカスタムログ(DCRベース)」を選択します。
- 「基本」タブに値を入力し、同時にデータ収集ルールも作成します。
※後述の手順で必要になるため、テーブル名はメモしてください。
- 「スキーマと変換」タブにて取り込む予定のカスタムログをアップロードします。*1
- アップロード後、必要に応じてクエリで取り込むログテーブルの修正を行います。*2
※後述の手順で使うため、記載したクエリをメモしてください。
- 設定内容を確認し「作成」を選択します。
- Azure トップページより「モニター」を検索します。
- 「設定」タブ内の「データ収集ルール」を選択し、手順4で作成したデータ収集ルールを選択します。
- Configurationタブ内の「リソース」を選択しデータ収集エンドポイントで選択した VM を選択し適用します。
※ 適用後、「Azure Monitor Agent」が 自動でインストールされます。
- Configurationタブ内の「データソース」を選択し「+追加」を選択します。
- 「データソース」タブにて「カスタムテキストログ」を選択します。
各項目に以下の内容を入力します。入力後「ターゲット」を選択します。
- ファイルパターン:カスタムログを配置した VM 上のファイルパス
- テーブル名:手順4で作成したテーブル名
- Transform:手順6で入力したクエリ
- 「ターゲット」タブにて、格納先の Log Analytics ワークスペースを選択します。
- 設定値に問題が無ければ「データソースの追加」を選択します。
ログの確認
- Azure トップページより「Log Analytics ワークスペース」を検索します。
- 取り込み対象の Log Analytics ワークスペースを選択し、「設定」タブ内の「ログ」を選択します。
- 「カスタムログ」内から取り込まれたログを確認することが可能です。
最後に
今回は、カスタムログ取得の流れをご紹介しました。
Microsoft Sentinel ではデータコネクタと呼ばれるモジュールで簡単に接続する仕組みが提供されていますが、データコネクタに対応していない製品についても、今回ご紹介したような形でログを取り込み分析を行うことが可能です。
ご一読いただきありがとうございました。
森田 侑紀仁(日本ビジネスシステムズ株式会社)
2020年度新卒入社。 主にMicrosoft Sentinel、Microsoft Defender for Endpointの設計・構築に携わっております。 趣味はドライブ・野球観戦(主に千葉ロッテ)です。
担当記事一覧