Plan für die Syslog-Datensammlung
Sie können Ereignisse von Linux-basierten Computern oder Appliances mit Syslog-Unterstützung in Microsoft Sentinel streamen, indem Sie den Azure Monitor-Agent für Linux und die Datensammlungsregeln verwenden. Dieses Streaming kann für jeden Computer durchgeführt werden, auf dem Sie den Agent direkt auf dem Host installieren können. Der native Syslog-Daemon des Hosts sammelt lokale Ereignisse der angegebenen Typen und leitet diese lokal an den Agent weiter, der sie wiederum in Ihren Log Analytics-Arbeitsbereich streamt.
Log Analytics unterstützt die Erfassung der von den Daemons rsyslog oder syslog-ng gesendeten Meldungen, wobei „rsyslog“ der Standarddaemon ist. Der Syslog-Standarddaemon in Version 5 von Red Hat Enterprise Linux (RHEL), CentOS und der Oracle Linux-Version (sysklog) wird für die Erfassung von Syslog-Ereignissen nicht unterstützt. Der rsyslog-Daemon sollte installiert und so konfiguriert werden, dass er sysklog für diese Linux-Versionen ersetzt.
Funktionsweise
Syslog ist ein gängiges Protokoll zur Ereignisprotokollierung für Linux. Wenn der Agent auf Ihrem virtuellen Computer oder Ihrer Appliance installiert ist, konfiguriert die Installationsroutine den lokalen Syslog-Daemon für die Weiterleitung von Meldungen an den Agent an TCP-Port 25224. Der Agent sendet die Nachricht dann über HTTPS an Ihren Log Analytics-Arbeitsbereich, wo sie in einem Ereignisprotokolleintrag in der Syslog-Tabelle in Microsoft Sentinel > Protokolle analysiert wird.