在 Azure Sentinel 中，選擇 "數據連接器"，然后選擇Syslog連接器。

在Syslog邊欄選項卡上，選擇 "打開連接器" 頁面。

安裝 Linux 代理：

• 如果 Linux 虛擬機位于 Azure 中，請選擇?"在 Azure Linux 虛擬機上下載并安裝代理"?。?在 "虛擬機" 邊欄選項卡中，選擇要在其上安裝代理的虛擬機，然后單擊 "連接"。
• 如果 Linux 計算機不在 Azure 中，請選擇?"在 linux 非 azure 計算機上下載并安裝代理"?。?在 "直接代理" 邊欄選項卡中，復制下載和板載 agent for LINUX的命令并在計算機上運行該命令。

?備注

請確保根據組織的安全策略配置這些計算機的安全設置。?例如，你可以配置網絡設置，使其符合組織的網絡安全策略，并更改守護程序中的端口和協議，使其符合安全要求。

選擇 "打開工作區高級設置配置"。

在 "高級設置" 邊欄選項卡中，選擇 "數據?>?系統日志"。?然后，添加要收集的連接器的功能。

添加 syslog 設備在其日志標頭中包含的工具。?你可以在/etc/rsyslog.d/security-config-omsagent.conf?syslog 中的 syslog 設備上、在文件夾中以及從/etc/syslog-ng/security-config-omsagent.conf?r-syslog中查看此配置。

如果要將異常 SSH 登錄檢測與收集的數據一起使用，請添加auth和authpriv。?有關更多詳細信息，請參閱以下部分。

如果已添加要監視的所有設備，并調整每個設備的任何嚴重性選項，請選中 "將下面的配置應用到我的計算機" 復選框。

選擇“保存”。

在 syslog 設備上，確保正在發送指定的設施。

若要在 syslog 日志的 Azure Monitor 中使用相關架構，請搜索syslog。

您可以使用Azure Monitor 日志查詢中的函數中所述的 Kusto 函數來分析 Syslog 消息。?然后，您可以將其另存為新的 Log Analytics 函數，用作一種新的數據類型。

對于前一過程中的步驟5，請確保選擇 "身份驗證" 和 "?authpriv?" 作為要監視的設施。?保留 "嚴重性" 選項的默認設置，以便所有這些選項都處于選中狀態。?例如：

留出足夠的時間來收集 syslog 信息。?然后，導航到 "?Azure Sentinel 日志"，復制并粘貼以下查詢：

復制

更改時間范圍（如果需要），然后選擇 "運行"。

如果生成的計數為零，請確認連接器的配置，并且被監視的計算機在您為查詢指定的時間段內具有成功的登錄活動。

如果生成的計數大于零，則 syslog 數據適用于異常 SSH 登錄檢測。?你可以通過分析?>?規則模板?>?（預覽版）進行異常 SSH 登錄檢測來啟用此檢測。