Ingérer des messages Syslog et CEF dans Microsoft Sentinel avec l’agent Azure Monitor

S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article explique comment utiliser Syslog via AMA et COMMON Event Format (CEF) via des connecteurs AMA pour filtrer et ingérer des messages syslog et CEF à partir de machines Linux, d’appareils réseau et d’appliances de sécurité. Pour en savoir plus sur ces connecteurs de données, consultez Connecteurs Syslog via AMA et Common Event Format (CEF) via AMA pour Microsoft Sentinel.

Remarque

Container Insights prend en charge la collecte automatique d’événements syslog à partir de nœuds Linux dans vos clusters AKS. En savoir plus dans la collection Syslog avec Container Insights.

Prérequis

Avant de commencer, assurez-vous que les ressources ont été configurées et que vous disposez des autorisations appropriées, comme décrit dans cette section.

Prérequis pour Microsoft Sentinel

Installez la solution Microsoft Sentinel appropriée et vérifiez que vous disposez des autorisations nécessaires pour effectuer toutes les étapes décrites dans cet article.

Installez la solution appropriée depuis le hub de contenu de Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Identifiez le connecteur de données que la solution Microsoft Sentinel nécessite Syslog via AMA ou CEF (Common Event Format) via AMA et si vous devez installer la solution Syslog ou Common Event Format . Pour remplir ce prérequis,
- Dans le hub de contenu, sélectionnez Gérer sur la solution installée et examinez le connecteur de données répertorié.
- Si ni Syslog via AMA ni Common Event Format (CEF) via AMA n’est installé avec la solution, identifiez si vous devez installer la solution Syslog ou Common Event Format en recherchant votre appliance ou appareil dans l’un des articles suivants :
  - Connecteur de données CEF via AMA – Configurer une appliance ou un appareil spécifique pour l’ingestion des données dans Microsoft Sentinel
  - Connecteur de données Syslog via AMA – Configurer une appliance ou un appareil spécifique pour l’ingestion des données dans Microsoft Sentinel
  Installez ensuite la solution Syslog ou Common Event Format depuis le hub de contenu afin d'obtenir le connecteur de données basé sur AMA associé.

Assurez-vous de disposer d’un compte Azure avec les rôles Azure RBAC (contrôle d’accès en fonction du rôle) suivants :

Rôle intégré	Étendue	Motif
- Contributeur de machine virtuelle - Machine connectée Azure Administrateur de ressources	Machines virtuelles Virtual Machine Scale Sets Serveurs avec Azure Arc	Pour déployer l’agent
Tout rôle incluant l’action Microsoft.Resources/deployments/*	Abonnement groupe de ressources Règle de collecte de données existante	Pour déployer des modèles Azure Resource Manager
Contributeur de surveillance	Abonnement groupe de ressources Règle de collecte de données existante	Pour créer ou modifier des règles de collecte de données

Prérequis pour le redirecteur de journaux

Si vous collectez des messages à partir d’un redirecteur de journaux, les prérequis suivants s’appliquent :

Vous devez désigner une machine virtuelle Linux servant de redirectrice de journaux.
- Créer une machine virtuelle Linux dans le portail Azure.
- Systèmes d’exploitation Linux pris en charge pour l’agent Azure Monitor.
Si votre redirecteur de journaux n’est pas une machine virtuelle Azure, l’agent Connected Machine Azure Arc doit y être installé.
La machine virtuelle du redirecteur de journaux Linux doit avoir la version 2.7 ou 3 de Python installée. Utilisez la commande python --version ou python3 --version pour vérifier. Si vous utilisez Python 3, assurez-vous que cette version est définie comme commande par défaut sur la machine, ou utilisez la commande « python3 » au lieu de « python » dans les scripts.
Le redirecteur de journaux doit avoir le démon syslog-ng ou rsyslog activé.
Pour connaître l'espace requis pour votre redirecteur de journaux, consultez le Point de référence des performances de l’agent Azure Monitor. Vous pouvez également consulter ce billet de blog, qui inclut des modèles de conception pour une ingestion évolutive.
Vos sources de journaux, appareils de sécurité et appliances doivent être configurés de façon à envoyer leurs messages de journal au démon syslog du redirecteur de journaux plutôt qu’à leur démon syslog local.

Remarque

Lors du déploiement de l’AMA sur un Virtual Machine Scale Set (VMSS), nous vous recommandons fortement d'utiliser un équilibreur de charge prenant en charge la méthode en tourniquet (round-robin) pour garantir la répartition de la charge sur l'ensemble des instances déployées.

Prérequis de sécurité pour la machine

Configurez la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation. Par exemple, configurez votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifiez les ports et les protocoles dans le démon pour les adapter à vos besoins. Pour améliorer la configuration de la sécurité de votre ordinateur, sécurisez votre machine virtuelle dans Azure ou passez en revue ces meilleures pratiques pour la sécurité réseau.

Si vos appareils envoient des journaux Syslog et CEF sur TLS, par exemple lorsque votre redirecteur de journaux se trouve dans le cloud, vous devez configurer le démon Syslog (rsyslog ou syslog-ng) pour qu’il communique dans TLS. Pour plus d'informations, consultez les pages suivantes :

Configurer le connecteur de données

Le processus de configuration des connecteurs de données Syslog via AMA ou Common Event Format (CEF) via AMA comprend les étapes suivantes :

Installez l’agent Azure Monitor et créez une règle de collecte de données (DCR) à l’aide de l’une des méthodes suivantes :
- Portail Azure ou Defender
- API d’ingestion de journaux Azure Monitor
Si vous collectez des journaux à partir d’autres machines à l’aide d’un redirecteur de journaux, exécutez le script « installation » sur le redirecteur de journaux pour configurer le démon Syslog afin de pouvoir écouter les messages provenant d’autres machines et ouvrir les ports locaux nécessaires.

Sélectionnez l’onglet approprié pour les instructions.

Portail Azure ou Defender
API d’ingestion de journaux

Créer une règle de collecte de données

Pour commencer, ouvrez le connecteur de données Syslog via AMA ou Common Event Format (CEF) via AMA dans Microsoft Sentinel et créez une règle de collecte de données (DCR).

Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Connecteurs de données.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>PortalConfiguration>Connecteurs de données.
Pour Syslog, tapez Syslog dans la zone de Recherche. Dans les résultats, sélectionnez le connecteur Syslog via AMA.
Pour CEF, tapez CEF dans la zone de Recherche. Dans les résultats, sélectionnez le connecteur CEF (Common Event Format) via AMA.
Dans le volet des résultats détaillés, sélectionnez Ouvrir la page du connecteur.
Dans la section Configuration, sélectionnez +Créer une règle de collecte de données.
Dans l’onglet Informations de base :
- Tapez un nom de DCR.
- Sélectionnez votre abonnement.
- Sélectionnez le groupe de ressources dans lequel vous souhaitez placer votre DCR.
Sélectionnez Suivant : Ressources >.

Définir les ressources de machines virtuelles

Dans l’onglet Ressources, sélectionnez les machines sur lesquelles vous souhaitez installer l’AMA (dans ce cas, votre machine redirectrice de journaux). Si votre redirecteur de journaux n’apparaît pas dans la liste, c'est probablement parce que l’agent Azure Connected Machine n'y est pas installé.

Utilisez les filtres disponibles ou la zone de recherche pour trouver votre machine virtuelle redirectrice de journaux. Développez un abonnement dans la liste pour voir ses groupes de ressources, puis un groupe de ressources pour voir ses machines virtuelles.
Sélectionnez la machine virtuelle redirectrice de journaux sur laquelle vous souhaitez installer l’AMA. La case à cocher s’affiche en regard du nom de la machine virtuelle lorsque vous pointez dessus.
Vérifiez vos modifications et sélectionnez Suivant : Collecter >.

Sélectionnez les facilités et niveaux de gravité

Notez que l’emploi d'une même facilité pour les messages Syslog et CEF peut entraîner des doublons lors de l’ingestion des données. Pour plus d’informations, consultez Prévention des doublons lors de l’ingestion des données.

Dans l’onglet Collecter, sélectionnez le niveau de journal minimal pour chaque facilité. Quand vous sélectionnez un niveau de journal, Microsoft Sentinel collecte les journaux pour le niveau sélectionné et les autres niveaux avec une gravité supérieure. Par exemple, si vous sélectionnez LOG_ERR, Microsoft Sentinel collecte les journaux pour les niveaux LOG_ERR, LOG_CRIT, LOG_ALERT et LOG_EMERG.
Vérifiez vos sélections et sélectionnez Suivant : Réviser + créer.

Réviser et créer la règle.

Une fois tous les onglets remplis, vérifiez les informations que vous avez saisies et créez la règle de collecte de données.

Sous l’onglet Vérifier et créer, sélectionnez Créer.

Le connecteur installe l’agent Azure Monitor sur les machines que vous avez sélectionnées au moment de la création de votre DCR.
Consultez les notifications sur le portail Azure ou le portail Microsoft Defender pour vérifier quand la DCR est créée et quand l’agent est installé.
Sélectionnez Actualiser dans la page du connecteur pour voir la DCR s'afficher dans la liste.

Installer l’agent Azure Monitor

Suivez les instructions de la documentation Azure Monitor pour installer l’agent Azure Monitor dans votre redirecteur de journaux. Pensez à vous reporter aux instructions pour Linux, et non pour Windows.

Vous pouvez créer des règles de collecte de données (DCR) à l’aide de l’API d’ingestion de journaux Azure Monitor. Pour plus d’informations, consultez Règles de collecte de données dans Azure Monitor.

Créer la règle de collecte de données

Créez un fichier JSON pour la règle de collecte de données, créez une requête d’API et envoyez la requête.

Préparez un fichier DCR au format JSON. Le contenu de ce fichier est le corps de votre requête d’API.

Pour voir un exemple, consultez Corps d'une requête de création de DCR Syslog/CEF. Pour collecter des messages Syslog et CEF dans une même règle de collecte de données, consultez l’exemple Flux Syslog et CEF dans une même DCR.
- Vérifiez que le champ streams est défini sur Microsoft-Syslog pour les messages Syslog, ou sur Microsoft-CommonSecurityLog pour les messages CEF.
- Ajoutez les niveaux de journal des filtres et des installations dans les paramètres facilityNames et logLevels. Consultez les sections Exemples de facilités et de niveaux de journal.
Créez une requête d’API dans le client d’API REST de votre choix.
1. Pour l’URL et l’en-tête de la requête, copiez les suivants.
```
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
```
  - Remplacez les valeurs appropriées dans les espaces réservés {subscriptionId} et {resourceGroupName}.
  - Tapez le nom de votre choix pour la DCR dans l’espace réservé {dataCollectionRuleName}.
2. Pour le corps de la requête, copiez et collez le contenu du fichier DCR au format JSON que vous avez créé à l’étape 1 ci-dessus.
Envoyez la demande.

Pour voir un exemple de la réponse que vous devez recevoir, consultez Réponse à la création d'une DCR Syslog/CEF.

Associer la DCR au redirecteur de journaux

Vous devez maintenant créer une DCRA (DCR Association) associant la DCR à la ressource de machines virtuelles qui héberge votre redirecteur de journaux.

Créez une requête d’API dans le client d’API REST de votre choix.
Pour l’URL et l’en-tête de la requête, copiez les suivants.
```
PUT 
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
```
- Remplacez les valeurs appropriées dans les espaces réservés {subscriptionId}, {resourceGroupName} et {virtualMachineName}.
- Tapez le nom de votre choix pour la DCR dans l’espace réservé {dataCollectionRuleAssociationName}.
Pour le corps de la requête, copiez le suivant.
```
{
  "properties": {
    "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
  }
}
```
- Remplacez les valeurs appropriées dans les espaces réservés {subscriptionId} et {resourceGroupName}.
- Tapez le nom de votre choix pour la DCR dans l’espace réservé {dataCollectionRuleName}.
Envoyez la demande.

Exemples de niveaux de journal des filtres et des installations

Passez en revue ces exemples de paramètres d’installations et de niveaux de journalisation. Le champ name inclut le nom du filtre.

Pour l’ingestion de messages CEF, la valeur de "streams" doit être "Microsoft-CommonSecurityLog" au lieu de "Microsoft-Syslog".

Cet exemple collecte des événements à partir des installations cron, daemon, local0, local3 et uucp avec les niveaux de journalisation Warning, Error, Critical, Alert et Emergency :

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Flux Syslog et CEF dans une même DCR

Cet exemple montre comment collecter des messages Syslog et CEF dans une même DCR.

La DCR collecte des messages d’événements CEF pour :

Les installations authpriv et mark avec les niveaux de journal Info, Notice, Warning, Error, Critical, Alert et Emergency
L’installation daemon avec les niveaux de journal Warning, Error, Critical, Alert et Emergency

Elle collecte des messages d’événements Syslog pour :

Les installations kern, local0, local5 et news avec les niveaux de journal Critical, Alert et Emergency
Les installations mail et uucp avec le niveau de journal Emergency

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Exécuter le script « installation »

Si vous utilisez un redirecteur de journaux, configurez le démon Syslog afin de pouvoir écouter les messages provenant d’autres machines et ouvrir les ports locaux nécessaires.

Dans la page du connecteur, copiez la ligne de commande qui s’affiche sous Exécuter la commande suivante pour installer et appliquer le collecteur CEF :.

Capture d’écran de la ligne de commande sur la page du connecteur.

Ou copiez-la ici :

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Connectez-vous à la machine redirectrice de journaux où vous venez d’installer l'AMA.
Collez la commande que vous avez copiée à la dernière étape pour lancer le script « installation ».
Le script configure le démon rsyslog ou syslog-ng pour qu’il utilise le protocole requis, puis le redémarre. Le script ouvre le port 514 pour écouter les messages entrants utilisant les protocoles UDP et TCP. Pour modifier ce paramètre, reportez-vous au fichier de configuration du démon Syslog en fonction du type de démon qui s’exécute sur la machine :
- Rsyslog : /etc/rsyslog.conf
- Syslog-ng : /etc/syslog-ng/syslog-ng.conf
Si vous utilisez Python 3 et que cette version n'est pas définie comme commande par défaut sur la machine, remplacez python3 par python dans la commande collée. Consultez Prérequis pour le redirecteur de journaux.

Remarque

Pour éviter les scénarios de disque complet dans lesquels l’agent ne peut pas fonctionner, nous vous recommandons de définir la configuration syslog-ng ou rsyslog pour ne pas stocker les journaux inutiles. Un scénario de disque complet interrompt le fonctionnement de l’AMA installé. Pour plus d’informations, consultez RSyslog ou Syslog-ng.
Vérifiez l’état du service.

Vérifiez l’état du service AMA sur votre redirecteur de journaux :
```
sudo systemctl status azuremonitoragent.service
```
Vérifiez l’état du service rsyslog :
```
sudo systemctl status rsyslog.service
```
Pour les environnements syslog-ng, vérifiez les points suivants :
```
sudo systemctl status syslog-ng.service
```

Configurer l’appareil ou appliance de sécurité

Pour obtenir des instructions sur la configuration de votre appareil ou appliance de sécurité, consultez l’un des articles suivants :

Pour plus d’informations sur votre appliance ou appareil, contactez le fournisseur de solutions.

Tester le connecteur

Vérifiez que les messages de journal de votre machine Linux ou des appareils et appliances de sécurité sont ingérés dans Microsoft Sentinel.

Pour vérifier que le démon syslog s’exécute sur le port UDP et que l’AMA écoute, exécutez cette commande :
```
 netstat -lnptv
```
Le démon rsyslog ou syslog-ng devrait être à l’écoute sur le port 514.
Pour capturer les messages envoyés à partir d’un enregistreur d’événements ou d’un appareil connecté, exécutez cette commande en arrière-plan :
```
sudo tcpdump -i any port 514 or 28330 -A -vv &
```
Une fois la validation terminée, arrêtez tcpdump. Tapez fg, puis sélectionnez Ctrl+C.

Envoyer des messages de test

Pour envoyer des messages de démonstration, effectuez l’une des étapes suivantes :

Utilisez l’utilitaire nc netcat. Dans cet exemple, l’utilitaire lit les données publiées via la commande echo avec le commutateur de nouvelle ligne désactivé. L’utilitaire écrit ensuite les données dans le port 514 UDP sur l’hôte local sans délai d’expiration. Pour exécuter l’utilitaire netcat, vous aurez peut-être besoin d'installer un package supplémentaire.
```
echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
```
Utilisez la commande logger. Cet exemple écrit le message dans l’installation local 4, au niveau de gravité Warning, sur le port 514, sur l’hôte local, au format RFC CEF. Les indicateurs -t et --rfc3164 sont utilisés pour se conformer au format RFC attendu.
```
logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|rt=$common=event-formatted-receive_time"
```
Testez l’ingestion Cisco ASA à l’aide de la commande suivante :
```
echo -n "<164>%ASA-7-106010: Deny inbound TCP src inet:1.1.1.1 dst inet:2.2.2.2" | nc -u -w0 localhost 514
```
Après avoir exécuté ces commandes, les messages arrivent sur le port 514 et sont transférés vers le port 28330.
Après avoir envoyé des messages de test, interrogez votre espace de travail Log Analytics. Les journaux peuvent prendre jusqu’à 20 minutes pour apparaître dans votre espace de travail.

Pour les journaux CEF :

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceProduct == "MOCK"

Pour les journaux Cisco ASA :

CommonSecurityLog
| where TimeGenerated > ago(1d)
| where DeviceVendor == "Cisco"
| where DeviceProduct == "ASA"

Résolution de problèmes supplémentaires

Si vous ne voyez aucun trafic sur le port 514 ou que vos messages de test ne sont pas ingérés, consultez Résolution des problèmes liés aux connecteurs Syslog via AMA et CEF via AMA pour Microsoft Sentinel.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-01-13