Sentinel初心者ガイド - Linuxの接続

■重要なポイント

①接続方法には２種類ある

②Azureに接続していないLinuxマシンのSyslogを収集することも可能

■Linuxの接続方法

■CEFデータコネクタによる接続

Azure以外のLinuxマシンは、Azure Arcに接続しているマシンが対象です。

（１）Microsoft Sentinelのホーム画面に移動します。

（２）対象のワークスペースを押下します。

（３）[コンテンツ管理] > [コンテンツハブ]を押下します。

（４）検索ボックスで「Common Event Format」と検索し、「Common Event Format」を選択し、[管理]を押下します。

（５）コンテンツ内の「Common Event Format (CEF) via AMA」のチェックボックスを選択し、[コネクタページを開く]を押下します。

（６）「Configuration」セクションで、[Create data colection rule]を押下します。

（７）「Basic」タブは、ルール名を入力します。

（８）「Resources」タブは、接続する個々のマシンを選択します。

（９）「Collect」タブは、「LOG_ALERT」の「MInimum log level」を「LOG_WARNING」に選択し、[Review+create]を押下します。

（１０）表示された内容を確認して、[Create]を押下します。

（１１）[Refresh]を押下し、データ収集ルールが作成されたことを確認してください。

Common Event Format (CEF) via AMAのStatusが「Connected」と表示されます。

■Syslog（レガシーエージェント）データコネクタによる接続

Azure Arcに接続していないマシンが対象です。

（１）Microsoft Sentinelのホーム画面に移動します。

（２）対象のワークスペースを押下します。

（３）[コンテンツ管理] > [コンテンツハブ]を押下します。

（４）検索ボックスで「Syslog」と検索し、「Syslog」を選択し、[管理]を押下します。

（５）コンテンツ内の「Syslog via Legacy Agent」のチェックボックスを選択し、[コネクタページを開く]を押下します。

（６）「Configuration」セクションにある「Install agent on a non-Azure Linux Machine」を展開し、[Download & install agent for non-Azure Linux machine]を押下します。

（７）「Log Analyticsエージェントの手順」を展開します。

（８）「Linux 用エージェントをダウンロードおよびオンボードする」のコマンドをコピーします。

（９）対象のLinuxマシンのシェル（SSH経由でも可能）で、コピーしたコマンドを貼り付けて、実行します。

（１０）接続が成功したか確認するには、（７）のページを更新し、「Linuxサーバー」タブの「Log Analytics Linuxエージェント（レガシ）経由」の表示をます。

■Syslogコネクタの収集するファシリティと重大度を構成

（１）Microsoft Sentinelのホーム画面に移動します。

（２）対象のワークスペースを押下します。

（３）[構成] > [設定]を順に押下します。

（４）[ワークスペースの設定]を押下します。

（５）[クラシック] > [レガシエージェントの管理] > [Syslog]を順に押下します。

（６）[ファシリティの追加]を押下し、「ファシリティ名」のドロップダウンメニューから、[auth]を選択します。

（７）[ファシリティの追加]を押下し、「ファシリティ名」のドロップダウンメニューから、[syslog]を選択します。

（８）[適用]を押下します。

■まとめ

Azureに接続していないLinuxマシンのSyslogを収集することも可能です。