Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto kurzu nakonfigurujete virtuální počítač s Linuxem tak, aby předával data Syslogu do vašeho pracovního prostoru pomocí agenta služby Azure Monitor. Tyto kroky vám umožní shromažďovat a monitorovat data ze zařízení založených na systému Linux, u nichž nelze nainstalovat agenta, jako je síťové zařízení typu firewall.
Poznámka:
Container Insights teď podporuje automatické shromažďování událostí Syslogu z uzlů Linuxu v clusterech AKS. Další informace najdete v tématu Shromažďování Syslog pomocí Container Insights.
Nakonfigurujte zařízení s Linuxem tak, aby odesílala data do virtuálního počítače s Linuxem. Agent Azure Monitoru na virtuálním počítači předává data Syslogu do pracovního prostoru služby Log Analytics. Pak pomocí služby Microsoft Sentinel nebo Azure Monitor monitorujte zařízení z dat uložených v pracovním prostoru služby Log Analytics.
V tomto kurzu se naučíte:
- Vytvoření pravidla shromažďování dat
- Ověřte, že je spuštěný agent Služby Azure Monitor.
- Povolte příjem protokolů na portu 514.
- Ověřte, že se data Syslog předávají do vašeho pracovního prostoru služby Log Analytics.
Požadavky
K dokončení kroků v tomto kurzu musíte mít následující prostředky a role:
Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
Účet Azure s následujícími rolemi pro nasazení agenta a vytvoření pravidel shromažďování dat.
Předdefinovaná role Scope Důvod - Spolupracovník virtuálního počítače
- Správce prostředků připojeného stroje v Azure– Virtuální počítače
– Škálovací sady
– Servery s podporou Azure ArcNasazení agenta Jakákoli role, která zahrnuje akci Microsoft.Resources/deployments/* – Předplatné
– Skupina zdrojů
– Stávající pravidlo shromažďování datNasazení šablon Azure Resource Manageru Přispěvatel monitorování – Předplatné
– Skupina
prostředků – Existující pravidlo shromažďování datVytvoření nebo úprava pravidel shromažďování dat Pracovní prostor služby Log Analytics.
Linuxový server, na kterém běží operační systém, který podporuje agenta Služby Azure Monitor.
Zařízení založené na Linuxu, které generuje data protokolu událostí, jako je síťové zařízení brány firewall.
Vytvoření DCR a přidání prostředků
Pokud chcete vytvořit dcR a přidat prostředky, postupujte podle kroků v těchto článcích:
Konfigurace zdroje dat Syslogu
Na kartě Shromáždit a doručit v DCR vyberte z rozevíracího seznamu Typ zdroje dat možnost Linux Syslog.
Vyberte minimální úroveň protokolu pro každé zařízení nebo ŽÁDNÉ, abyste pro dané zařízení neshromažďovali žádné události. Můžete nakonfigurovat více zařízení najednou tak, že zaškrtnete jejich políčko a pak vyberete úroveň protokolu v části Nastavit minimální úroveň protokolu pro vybraná zařízení.
Pro zařízení se shromažďují všechny protokoly s vybranou úrovní závažnosti a vyšší. Podporované úrovně závažnosti a jejich relativní závažnost jsou následující:
- Ladění
- Informace
- Upozornění:
- Výstraha
- Chyba
- Kritický
- Upozornění
- Nouzový
Přidání cílů
Data Syslogu se dají odesílat jenom do pracovního prostoru služby Log Analytics, kde jsou uložená v tabulce Syslog . Přidejte cíl typu Azure Monitor Logs a vyberte pracovní prostor Log Analytics. I když můžete přidat více pracovních prostorů, mějte na paměti, že se do každého pošlou duplicitní data, což bude mít za následek další náklady.
Ověření shromažďování dat
Pokud chcete ověřit, že se data shromažďují, zkontrolujte záznamy v tabulce Syslog . Na virtuálním počítači nebo v pracovním prostoru Služby Log Analytics na webu Azure Portal vyberte Protokoly a pak klikněte na tlačítko Tabulky . V kategorii Virtuální počítače klikněte na Spustit vedle syslogu.
Úplný postup konfigurace shromažďování dat Syslog najdete v tématu Shromažďování událostí Syslogu pomocí agenta služby Azure Monitor.
Ověření, že je spuštěný agent služby Azure Monitor
V Microsoft Sentinelu nebo Azure Monitoru ověřte, že na vašem virtuálním počítači běží agent Azure Monitor.
Na webu Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy, aby se zobrazila karta Nový dotaz.
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
Heartbeat | where Computer == "vm-linux" | take 10
Povolení příjmu protokolů na portu 514
Ověřte, že virtuální počítač, který shromažďuje data protokolu, povoluje příjem na portu 514 TCP nebo UDP v závislosti na zdroji Syslog. Potom na virtuálním počítači nakonfigurujte integrovaný proces démon Syslog v Linuxu tak, aby naslouchal zprávě Syslogu z vašich zařízení. Po dokončení těchto kroků nakonfigurujte zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače.
Poznámka:
Pokud je brána firewall spuštěná, bude potřeba vytvořit pravidlo, které vzdáleným systémům umožní přístup k naslouchacímu procesu syslogu demona: systemctl status firewalld.service
- Přidání pro tcp 514 (vaše zóna/ port/protokol se může lišit v závislosti na vašem scénáři)
firewall-cmd --zone=public --add-port=514/tcp --permanent - Přidejte pro udp 514 (vaše zóna, port nebo protokol se může lišit v závislosti na vašem scénáři)
firewall-cmd --zone=public --add-port=514/udp --permanent - Restartujte službu firewall, aby se zajistilo, že se projeví nová pravidla.
systemctl restart firewalld.service
V následujících dvou částech se dozvíte, jak přidat příchozí pravidlo portu pro virtuální počítač Azure a nakonfigurovat předdefinovaný démon Syslog linuxu.
Povolit příchozí provoz Syslogu na VM (virtuálním počítači)
Pokud předáváte data Syslogu na virtuální počítač Azure, povolte příjem na portu 514 podle těchto kroků.
Na webu Azure Portal vyhledejte a vyberte Virtual Machines.
Vyberte virtuální počítač.
V části Nastavení vyberte Sítě.
Vyberte Přidat pravidlo portu pro příchozí provoz.
Zadejte následující hodnoty.
Pole Hodnota Rozsahy cílových portů 514 Protokol TCP nebo UDP v závislosti na zdroji Syslogu Akce Povolit Název AllowSyslogInbound Ve zbývajících polích použijte výchozí hodnoty.
Vyberte Přidat.
Konfigurace démona Syslog pro Linux
Připojte se k virtuálnímu počítači s Linuxem a nakonfigurujte démon Syslog pro Linux. Spusťte například následující příkaz a upravte příkaz podle potřeby pro vaše síťové prostředí:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Tento skript může provádět změny pro rsyslog.d i syslog-ng.
Poznámka:
Pokud se chcete vyhnout scénářům plného disku, kdy agent nemůže fungovat, musíte nastavit syslog-ng nebo rsyslog nakonfigurovat tak, aby neukládaly protokoly, které agent nepotřebuje. Scénář Full Disk naruší funkci nainstalovaného agenta Azure Monitoru.
Přečtěte si další informace o rsyslogu nebo syslog-ng.
Ověřte, že jsou data Syslogu předávána do vašeho pracovního prostoru služby Log Analytics.
Jakmile nakonfigurujete zařízení s Linuxem tak, aby odesílala protokoly do virtuálního počítače, ověřte, že agent Služby Azure Monitor předává data Syslogu do vašeho pracovního prostoru.
Na webu Azure Portal vyhledejte a otevřete Microsoft Sentinel nebo Azure Monitor.
Pokud používáte Microsoft Sentinel, vyberte příslušný pracovní prostor.
V části Obecné vyberte Protokoly.
Zavřete stránku Dotazy, aby se zobrazila karta Nový dotaz.
Spusťte následující dotaz, ve kterém nahradíte hodnotu počítače názvem virtuálního počítače s Linuxem.
Syslog | where Computer == "vm-linux" | summarize by HostName
Vyčištění prostředků
Vyhodnoťte, jestli potřebujete prostředky, jako je virtuální počítač, který jste vytvořili. Prostředky, které necháte spuštěné, vás mohou vyjít draho. Odstraňte prostředky, které nepotřebujete jednotlivě. Skupinu prostředků můžete také odstranit a odstranit tak všechny prostředky, které jste vytvořili.