Kurz: Předávání dat syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta Azure Monitoru

Článek
06/17/2023

V tomto kurzu nakonfigurujete virtuální počítač s Linuxem tak, aby předával data syslogu do pracovního prostoru pomocí agenta Azure Monitoru. Tyto kroky umožňují shromažďovat a monitorovat data ze zařízení s Linuxem, na kterých nemůžete nainstalovat agenta, jako je síťové zařízení brány firewall.

Nakonfigurujte zařízení s Linuxem tak, aby odesílala data do virtuálního počítače s Linuxem. Agent Azure Monitoru na virtuálním počítači předává data Syslogu do pracovního prostoru služby Log Analytics. Pak použijte Microsoft Sentinel nebo Azure Monitor k monitorování zařízení z dat uložených v pracovním prostoru služby Log Analytics.

V tomto kurzu se naučíte:

Vytvoření pravidla shromažďování dat
Ověřte, že je spuštěný agent Azure Monitoru.
Povolte příjem protokolu na portu 514.
Ověřte, že se data Syslogu předávají do pracovního prostoru služby Log Analytics.

Požadavky

Abyste mohli dokončit kroky v tomto kurzu, musíte mít následující prostředky a role:

Účet Azure s aktivním předplatným. Vytvořte si účet zdarma.

Účet Azure s následujícími rolemi pro nasazení agenta a vytvoření pravidel shromažďování dat

Předdefinované role	Obor	Důvod
- Přispěvatel - virtuálních počítačů Správce prostředků připojeného počítače Azure	– Virtuální počítače – Škálovací sady – Servery s podporou Azure Arc	Nasazení agenta
Libovolná role, která zahrnuje akci Microsoft.Resources/deployments/*	– Předplatné – Skupina prostředků – Existující pravidlo shromažďování dat	Nasazení šablon Azure Resource Manager
Přispěvatel monitorování	– Předplatné – Skupina prostředků – Existující pravidlo shromažďování dat	Vytvoření nebo úprava pravidel shromažďování dat

Pracovní prostor služby Log Analytics.
Linuxový server s operačním systémem, který podporuje agenta Azure Monitoru.
- Podporované operační systémy Linux pro agenta Azure Monitoru
- Vytvořte virtuální počítač s Linuxem v Azure Portal nebo přidejte místní linuxový server do Azure Arc.
Zařízení se systémem Linux, které generuje data protokolu událostí, jako je síťové zařízení brány firewall.

Vytvoření pravidla shromažďování dat

Podrobné pokyny najdete v tématu Vytvoření pravidla shromažďování dat.

Ověření, že je spuštěný agent Azure Monitoru

Ve službě Microsoft Sentinel nebo Azure Monitor ověřte, že je na virtuálním počítači spuštěný agent Azure Monitoru.

V Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy , aby se zobrazila karta Nový dotaz .
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
```
Heartbeat
| where Computer == "vm-linux"
| take 10
```

Povolení příjmu protokolu na portu 514

Ověřte, že virtuální počítač, který shromažďuje data protokolu, umožňuje příjem na portu 514 TCP nebo UDP v závislosti na zdroji syslogu. Pak na virtuálním počítači nakonfigurujte integrovaného linuxového démona Syslog, aby naslouchal zprávě syslogu z vašich zařízení. Po dokončení těchto kroků nakonfigurujte zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače.

V následujících dvou částech se dozvíte, jak přidat příchozí pravidlo portu pro virtuální počítač Azure a nakonfigurovat integrovaný linuxový démon Syslog.

Povolení příchozího provozu syslogu na virtuálním počítači

Pokud předáváte data syslogu na virtuální počítač Azure, povolte příjem na portu 514 podle těchto kroků.

V Azure Portal vyhledejte a vyberte Virtual Machines.
Vyberte virtuální počítač.
V části Nastavení vyberte Sítě.
Vyberte Přidat pravidlo portu pro příchozí provoz.
Zadejte následující hodnoty.

Pole Hodnota

Rozsahy cílových portů 514

Protokol TCP nebo UDP v závislosti na zdroji syslogu

Akce Povolit

Name AllowSyslogInbound

Ve zbývajících polích použijte výchozí hodnoty.
Vyberte Přidat.

Pole	Hodnota
Rozsahy cílových portů	514
Protokol	TCP nebo UDP v závislosti na zdroji syslogu
Akce	Povolit
Name	AllowSyslogInbound

Konfigurace démona Syslogu pro Linux

Poznámka

Pokud se chcete vyhnout situacím s plným diskem , kdy agent nemůže fungovat, doporučujeme nastavit syslog-ng konfiguraci nebo rsyslog tak, aby se nepotřebné protokoly neukládaly. Scénář plného disku naruší funkci nainstalovaného agenta Azure Monitoru. Přečtěte si další informace o rsyslogu nebo syslog-ng.

Připojte se k virtuálnímu počítači s Linuxem a spuštěním následujícího příkazu nakonfigurujte démon Linux Syslog:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Tento skript může provádět změny pro rsyslog.d i syslog-ng.

Ověření předávání dat Syslogu do pracovního prostoru služby Log Analytics

Po nakonfigurování zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače, ověřte, že agent Azure Monitoru předává data Syslogu do vašeho pracovního prostoru.

V Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy , aby se zobrazila karta Nový dotaz .
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
```
Syslog
| where Computer == "vm-linux"
| summarize by HostName
```

Vyčištění prostředků

Vyhodnoťte, jestli potřebujete prostředky, jako je virtuální počítač, který jste vytvořili. Prostředky, které necháte spuštěné, vás můžou stát peníze. Odstraňte prostředky, které nepotřebujete jednotlivě. Můžete také odstranit skupinu prostředků a odstranit tak všechny prostředky, které jste vytvořili.

Další kroky

Přečtěte si další informace:

Pravidla shromažďování dat ve službě Azure Monitor Shromažďování událostí syslogu pomocí agenta Azure Monitoru