Kurz: Předávání dat syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta Azure Monitoru
V tomto kurzu nakonfigurujete virtuální počítač s Linuxem tak, aby předával data syslogu do pracovního prostoru pomocí agenta Azure Monitoru. Tyto kroky umožňují shromažďovat a monitorovat data ze zařízení s Linuxem, na kterých nemůžete nainstalovat agenta, jako je síťové zařízení brány firewall.
Nakonfigurujte zařízení s Linuxem tak, aby odesílala data do virtuálního počítače s Linuxem. Agent Azure Monitoru na virtuálním počítači předává data Syslogu do pracovního prostoru služby Log Analytics. Pak použijte Microsoft Sentinel nebo Azure Monitor k monitorování zařízení z dat uložených v pracovním prostoru služby Log Analytics.
V tomto kurzu se naučíte:
- Vytvoření pravidla shromažďování dat
- Ověřte, že je spuštěný agent Azure Monitoru.
- Povolte příjem protokolu na portu 514.
- Ověřte, že se data Syslogu předávají do pracovního prostoru služby Log Analytics.
Požadavky
Abyste mohli dokončit kroky v tomto kurzu, musíte mít následující prostředky a role:
Účet Azure s aktivním předplatným. Vytvořte si účet zdarma.
Účet Azure s následujícími rolemi pro nasazení agenta a vytvoření pravidel shromažďování dat
Předdefinované role Obor Důvod - Přispěvatel
- virtuálních počítačůSprávce prostředků připojeného počítače Azure– Virtuální počítače
– Škálovací sady
– Servery s podporou Azure ArcNasazení agenta Libovolná role, která zahrnuje akci Microsoft.Resources/deployments/* – Předplatné
– Skupina
prostředků – Existující pravidlo shromažďování datNasazení šablon Azure Resource Manager Přispěvatel monitorování – Předplatné
– Skupina
prostředků – Existující pravidlo shromažďování datVytvoření nebo úprava pravidel shromažďování dat Pracovní prostor služby Log Analytics.
Linuxový server s operačním systémem, který podporuje agenta Azure Monitoru.
Zařízení se systémem Linux, které generuje data protokolu událostí, jako je síťové zařízení brány firewall.
Vytvoření pravidla shromažďování dat
Podrobné pokyny najdete v tématu Vytvoření pravidla shromažďování dat.
Ověření, že je spuštěný agent Azure Monitoru
Ve službě Microsoft Sentinel nebo Azure Monitor ověřte, že je na virtuálním počítači spuštěný agent Azure Monitoru.
V Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy , aby se zobrazila karta Nový dotaz .
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
Heartbeat | where Computer == "vm-linux" | take 10
Povolení příjmu protokolu na portu 514
Ověřte, že virtuální počítač, který shromažďuje data protokolu, umožňuje příjem na portu 514 TCP nebo UDP v závislosti na zdroji syslogu. Pak na virtuálním počítači nakonfigurujte integrovaného linuxového démona Syslog, aby naslouchal zprávě syslogu z vašich zařízení. Po dokončení těchto kroků nakonfigurujte zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače.
V následujících dvou částech se dozvíte, jak přidat příchozí pravidlo portu pro virtuální počítač Azure a nakonfigurovat integrovaný linuxový démon Syslog.
Povolení příchozího provozu syslogu na virtuálním počítači
Pokud předáváte data syslogu na virtuální počítač Azure, povolte příjem na portu 514 podle těchto kroků.
V Azure Portal vyhledejte a vyberte Virtual Machines.
Vyberte virtuální počítač.
V části Nastavení vyberte Sítě.
Vyberte Přidat pravidlo portu pro příchozí provoz.
Zadejte následující hodnoty.
Pole Hodnota Rozsahy cílových portů 514 Protokol TCP nebo UDP v závislosti na zdroji syslogu Akce Povolit Name AllowSyslogInbound Ve zbývajících polích použijte výchozí hodnoty.
Vyberte Přidat.
Konfigurace démona Syslogu pro Linux
Poznámka
Pokud se chcete vyhnout situacím s plným diskem , kdy agent nemůže fungovat, doporučujeme nastavit syslog-ng
konfiguraci nebo rsyslog
tak, aby se nepotřebné protokoly neukládaly. Scénář plného disku naruší funkci nainstalovaného agenta Azure Monitoru.
Přečtěte si další informace o rsyslogu nebo syslog-ng.
Připojte se k virtuálnímu počítači s Linuxem a spuštěním následujícího příkazu nakonfigurujte démon Linux Syslog:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Tento skript může provádět změny pro rsyslog.d i syslog-ng.
Ověření předávání dat Syslogu do pracovního prostoru služby Log Analytics
Po nakonfigurování zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače, ověřte, že agent Azure Monitoru předává data Syslogu do vašeho pracovního prostoru.
V Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy , aby se zobrazila karta Nový dotaz .
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
Syslog | where Computer == "vm-linux" | summarize by HostName
Vyčištění prostředků
Vyhodnoťte, jestli potřebujete prostředky, jako je virtuální počítač, který jste vytvořili. Prostředky, které necháte spuštěné, vás můžou stát peníze. Odstraňte prostředky, které nepotřebujete jednotlivě. Můžete také odstranit skupinu prostředků a odstranit tak všechny prostředky, které jste vytvořili.
Další kroky
Přečtěte si další informace: