Teilen über


Tutorial: Weiterleiten von Syslog-Daten an einen Log Analytics-Arbeitsbereich mit Microsoft Sentinel mithilfe des Azure Monitor-Agenten

In diesem Tutorial konfigurieren Sie eine Linux-VM für die Weiterleitung von Syslog-Daten an Ihren Arbeitsbereich mithilfe des Azure Monitor-Agenten. Mit diesen Schritten können Sie Daten von Linux-basierten Geräten sammeln und überwachen, auf denen Sie keinen Agent installieren können (z. B. ein Firewallnetzwerkgerät).

Hinweis

Container Insights unterstützt jetzt die automatische Sammlung von Syslog-Ereignissen von Linux-Knoten in Ihren AKS-Clustern. Weitere Informationen finden Sie in der Syslog-Sammlung mit Container Insights.

Konfigurieren Sie Ihr Linux-basiertes Gerät so, dass Daten an eine Linux-VM gesendet werden. Der Azure Monitor-Agent auf der VM leitet die Syslog-Daten an den Log Analytics-Arbeitsbereich weiter. Verwenden Sie dann Microsoft Sentinel oder Azure Monitor, um das Gerät über die im Log Analytics-Arbeitsbereich gespeicherten Daten zu überwachen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer Datensammlungsregel
  • Überprüfen Sie, ob der Azure Monitor-Agent ausgeführt wird.
  • Aktivieren Sie den Protokollempfang an Port 514.
  • Überprüfen Sie die Weiterleitung von Syslog-Daten an Ihren Log Analytics-Arbeitsbereich.

Voraussetzungen

Um die Schritte in diesem Tutorial durchzuführen, benötigen Sie die folgenden Ressourcen und Rollen:

Konfigurieren des Azure Monitor-Agents zum Sammeln von Syslog-Daten

Lesen Sie die schrittweisen Anleitungen zum Sammeln von Syslog-Ereignissen mit Azure Monitor Agent.

Überprüfen, ob der Azure Monitor-Agent ausgeführt wird

Überprüfen Sie in Microsoft Sentinel oder Azure Monitor, ob der Azure Monitor-Agent auf Ihrer VM ausgeführt wird.

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel oder Azure Monitor, und öffnen Sie den jeweiligen Dienst.

  2. Wenn Sie Microsoft Sentinel verwenden, wählen Sie den entsprechenden Arbeitsbereich aus.

  3. Wählen Sie unter Allgemein die Option Protokolle aus.

  4. Schließen Sie die Seite Abfragen, sodass die Registerkarte Neue Abfrage erscheint.

  5. Führen Sie die folgende Abfrage aus. Ersetzen Sie den Computerwert durch den Namen Ihrer Linux-VM.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Aktivieren des Protokollempfangs an Port 514

Stellen Sie sicher, dass die VM, die die Protokolldaten sammelt, den Empfang an Port 514, TCP oder UDP (je nach Syslog-Quelle), ermöglicht. Konfigurieren Sie dann den integrierten Linux-Syslog-Daemon auf der VM so, dass er auf Syslog-Meldungen von Ihren Geräten lauscht. Nachdem Sie diese Schritte ausgeführt haben, konfigurieren Sie Ihr Linux-basiertes Gerät so, dass Protokolle an Ihre VM gesendet werden.

Hinweis

Wenn die Firewall ausgeführt wird, muss eine Regel erstellt werden, damit Remotesysteme den Syslog-Listener des Daemons erreichen können: systemctl status firewalld.service

  1. Für tcp 514 (Zone/Port/Protokoll unterscheiden sich möglicherweise je nach Szenario) hinzufügen firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Für udp 514 (Zone/Port/Protokoll unterscheiden sich möglicherweise je nach Szenario) hinzufügen firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Starten Sie den Firewalldienst neu, um sicherzustellen, dass neue Regeln systemctl restart firewalld.service in Kraft treten

In den folgenden beiden Abschnitten wird erläutert, wie Sie eine Eingangsportregel für eine Azure-VM hinzufügen und den integrierten Linux-Syslog-Daemon konfigurieren.

Zulassen von eingehendem Syslog-Datenverkehr auf der VM

Wenn Sie Syslogs-Daten an eine Azure-VM weiterleiten, folgen Sie den folgenden Schritten, um den Empfang an Port 514 zuzulassen.

  1. Suchen Sie im Azure-Portal nach Virtual Machines, und klicken Sie darauf.

  2. Wählen Sie den virtuellen Computer aus.

  3. Wählen Sie unter Einstellungen die Option Netzwerk aus.

  4. Wählen Sie Regel für eingehenden Port hinzufügen aus.

  5. Geben Sie die folgenden Werte ein.

    Feld Wert
    Zielportbereiche 514
    Protocol TCP oder UDP, je nach Syslog-Quelle
    Aktion Allow
    Name AllowSyslogInbound

    Übernehmen Sie für die restlichen Feldern die Standardwerte.

  6. Wählen Sie Hinzufügen.

Konfigurieren des Linux-Syslog-Daemons

Stellen Sie eine Verbindung mit Ihrer Linux-VM her, und konfigurieren Sie den Linux-Syslog-Daemon. Führen Sie beispielsweise den folgenden Befehl aus, nachdem Sie ihn ggf. an Ihre Netzwerkumgebung angepasst haben:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Dieses Skript kann Änderungen sowohl für „rsyslog.d“ als auch für „syslog-ng“ vornehmen.

Hinweis

Um Szenarien mit vollen Datenträgern zu vermeiden, bei denen der Agent nicht funktionieren kann, empfehlen wir, das Sie die Konfiguration von syslog-ng oder rsyslog so festlegen, dass nicht benötigte Protokolle nicht gespeichert werden. Ein Szenario mit vollem Datenträger unterbricht die Funktion des installierten Azure Monitor-Agenten. Weitere Informationen finden Sie unter rsyslog oder syslog-ng.

Überprüfen der Weiterleitung von Syslog-Daten an Ihren Log Analytics-Arbeitsbereich

Nachdem Sie Ihr Linux-basiertes Gerät so konfiguriert haben, dass Protokolle an Ihre VM gesendet werden, stellen Sie sicher, dass der Azure Monitor-Agent Syslog-Daten an Ihren Arbeitsbereich weiterleitet.

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel oder Azure Monitor, und öffnen Sie den jeweiligen Dienst.

  2. Wenn Sie Microsoft Sentinel verwenden, wählen Sie den entsprechenden Arbeitsbereich aus.

  3. Wählen Sie unter Allgemein die Option Protokolle aus.

  4. Schließen Sie die Seite Abfragen, sodass die Registerkarte Neue Abfrage erscheint.

  5. Führen Sie die folgende Abfrage aus. Ersetzen Sie den Computerwert durch den Namen Ihrer Linux-VM.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Bereinigen von Ressourcen

Bewerten Sie, ob Sie die Ressourcen wie die von Ihnen erstellte VM benötigen. Ressourcen, die Sie weiterhin ausführen, können Sie Geld kosten. Löschen Sie die nicht benötigten Ressourcen einzeln. Sie können auch die Ressourcengruppe löschen, um alle von Ihnen erstellten Ressourcen zu löschen.