[Microsoft Sentinel] AMA로 Syslog 보내기

AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.

sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 

이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 

링크 : https://mara7.tistory.com/185#

Syslog 테이블로 로그 전달

syslog를 log analytics 로 전달하는 방법은 간단합니다.

이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.

Azure에 Log forwarder서버가 구성되어 있지않은 경우 (온프렘 or aws,gcp등), arc로 해당 서버를 azure로 온보딩해야합니다.

DCR (데이터 수집 규칙) 을 생성합니다.

번호 순서대로 값을 입력합니다. 

주의할 사항은 3번과 4번입니다.

영역은, 센티넬 작업영역과 같은 영역으로 설정하세요.

플랫폼 유형은, Linux로 설정합니다.

리소스 탭에서 log forwarder 서버를 추가합니다.

수집 및 제공 탭에서 데이터 원본을 linux syslog로 설정하고, 최소 로그 수준을 설정합니다.

최소 로그 수준! 잘 설정해주세요.

저는 처음에 이 부분을 잘못 설정해서 forwarder 서버에 tcpdump로 로그가 수집된 것은 확인했는데, syslog테이블에 로그가 안쌓였었어요.

 

검토 및 만들기 데이터 수집 규칙 만들기를 마무리합니다.

로그 전달 테스트

1. syslog 포워더 서버에 접속하여 아래 명령어를 입력해주세요.

logger Testing123

 

2. 5~10분정도 기다려보세요.

- 최초 구성 후 테스트할 경우에는 30분 정도 여유롭게 기다려보세요.

 

다음 포스팅은, AMA를 통한 CEF 커넥터를 사용하여 Common Event Format 로그 쌓기 ! 입니다.

 

감사합니다. 도움이 되셨다면 공감을 눌러주세요 ㅎㅎ