Sdílet prostřednictvím

Kurz: Předávání dat Syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta služby Azure Monitor

  • Článek

V tomto kurzu nakonfigurujete virtuální počítač s Linuxem tak, aby předával data Syslogu do vašeho pracovního prostoru pomocí agenta služby Azure Monitor. Tyto kroky umožňují shromažďovat a monitorovat data ze zařízení s Linuxem, kde nemůžete nainstalovat agenta, jako je síťové zařízení brány firewall.

Poznámka:

Container Insights teď podporuje automatické shromažďování událostí Syslogu z uzlů Linuxu v clusterech AKS. Další informace najdete v tématu Shromažďování Syslog pomocí Container Insights.

Nakonfigurujte zařízení s Linuxem tak, aby odesílala data do virtuálního počítače s Linuxem. Agent Azure Monitoru na virtuálním počítači předává data Syslogu do pracovního prostoru služby Log Analytics. Pak pomocí služby Microsoft Sentinel nebo Azure Monitor monitorujte zařízení z dat uložených v pracovním prostoru služby Log Analytics.

V tomto kurzu se naučíte:

  • Vytvoření pravidla shromažďování dat
  • Ověřte, že je spuštěný agent Služby Azure Monitor.
  • Povolte příjem protokolů na portu 514.
  • Ověřte, že se data Syslog předávají do vašeho pracovního prostoru služby Log Analytics.

Požadavky

K dokončení kroků v tomto kurzu musíte mít následující prostředky a role:

Konfigurace agenta Služby Azure Monitor ke shromažďování dat Syslogu

Projděte si podrobné pokyny v tématu Shromažďování událostí Syslogu pomocí agenta služby Azure Monitor.

Ověření, že je spuštěný agent služby Azure Monitor

V Microsoft Sentinelu nebo Azure Monitoru ověřte, že na vašem virtuálním počítači běží agent Azure Monitor.

  1. Na webu Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.

  2. Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.

  3. V části Obecné vyberte Protokoly.

  4. Zavřete stránku Dotazy, aby se zobrazila karta Nový dotaz.

  5. Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.

    Heartbeat
| where Computer == "vm-linux"
| take 10

Povolení příjmu protokolů na portu 514

Ověřte, že virtuální počítač, který shromažďuje data protokolu, umožňuje příjem na portu 514 TCP nebo UDP v závislosti na zdroji Syslog. Potom na virtuálním počítači nakonfigurujte integrovaný proces démon Syslog v Linuxu tak, aby naslouchal zprávě Syslogu z vašich zařízení. Po dokončení těchto kroků nakonfigurujte zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače.

Poznámka:

Pokud je brána firewall spuštěná, bude potřeba vytvořit pravidlo, které vzdáleným systémům umožní přístup k naslouchacímu procesu syslogu démona: systemctl status firewalld.service

  1. Přidání pro tcp 514 (vaše zóna/ port/protokol se může lišit v závislosti na vašem scénáři) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Přidání pro udp 514 (vaše zóna, port nebo protokol se může lišit v závislosti na vašem scénáři) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Restartujte službu firewall, aby se zajistilo, že se projeví nová pravidla. systemctl restart firewalld.service

V následujících dvou částech se dozvíte, jak přidat příchozí pravidlo portu pro virtuální počítač Azure a nakonfigurovat předdefinovaný démon Syslog linuxu.

Povolení příchozího provozu syslogu na virtuálním počítači

Pokud předáváte data Syslogu na virtuální počítač Azure, povolte příjem na portu 514 podle těchto kroků.

  1. Na webu Azure Portal vyhledejte a vyberte Virtual Machines.

  2. Vyberte virtuální počítač.

  3. V části Nastavení vyberte Sítě.

  4. Vyberte Přidat pravidlo portu pro příchozí provoz.

  5. Zadejte následující hodnoty.

    Pole Hodnota
    Rozsahy cílových portů 514
    Protokol TCP nebo UDP v závislosti na zdroji Syslogu
    Akce Povolit
    Název AllowSyslogInbound

    Ve zbývajících polích použijte výchozí hodnoty.

  6. Vyberte Přidat.

Konfigurace démona Syslog pro Linux

Připojte se k virtuálnímu počítači s Linuxem a nakonfigurujte démon Syslog pro Linux. Spusťte například následující příkaz a upravte příkaz podle potřeby pro vaše síťové prostředí:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Tento skript může provádět změny pro rsyslog.d i syslog-ng.

Poznámka:

Pokud se chcete vyhnout scénářům plného disku, ve kterých agent nemůže fungovat, doporučujeme nastavit syslog-ng nebo rsyslog nakonfigurovat, aby neukládaly nepotřebné protokoly. Scénář Full Disk naruší funkci nainstalovaného agenta Azure Monitoru. Přečtěte si další informace o rsyslogu nebo syslog-ng.

Ověření předávání dat Syslogu do pracovního prostoru služby Log Analytics

Jakmile nakonfigurujete zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače, ověřte, že agent Služby Azure Monitor předává data Syslogu do vašeho pracovního prostoru.

  1. Na webu Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.

  2. Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.

  3. V části Obecné vyberte Protokoly.

  4. Zavřete stránku Dotazy, aby se zobrazila karta Nový dotaz.

  5. Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.

    Syslog
| where Computer == "vm-linux"
| summarize by HostName

Vyčištění prostředků

Vyhodnoťte, jestli potřebujete prostředky, jako je virtuální počítač, který jste vytvořili. Prostředky, které necháte spuštěné, vám můžou stát peníze. Odstraňte prostředky, které nepotřebujete jednotlivě. Skupinu prostředků můžete také odstranit a odstranit tak všechny prostředky, které jste vytvořili.

Související obsah