Compartir a través de

Tutorial: Reenvío de datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante el agente de Azure Monitor

En este tutorial configura una máquina virtual Linux para reenviar datos de Syslog al área de trabajo mediante el agente de Azure Monitor. Estos pasos permiten recopilar y supervisar datos de los dispositivos basados en Linux en los que no se puede instalar un agente, como un dispositivo de red de firewall.

Nota:

Container Insights ahora admite la recopilación automática de eventos de Syslog de nodos de Linux en los clústeres de AKS. Para más información, vea Recopilación de Syslog con Container Insights.

Configure el dispositivo basado en Linux para enviar datos a una máquina virtual Linux. El agente de Azure Monitor de la máquina virtual reenvía los datos de Syslog al área de trabajo de Log Analytics. A continuación, use Microsoft Sentinel o Azure Monitor para supervisar el dispositivo desde los datos almacenados en el área de trabajo de Log Analytics.

En este tutorial, aprenderá a:

  • Cree una regla de recopilación de datos.
  • Compruebe que el agente de Azure Monitor se está ejecutando.
  • Habilitación de la recepción de registros en el puerto 514.
  • Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics.

Requisitos previos

Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles:

Cree el DCR y añada recursos

Para crear el DCR y agregar recursos, siga los pasos descritos en estos artículos:

Configuración del origen de datos de Syslog

En la pestaña Recopilar y entregar de DCR, seleccione Linux Syslog en la lista desplegable Tipo de origen de datos .

Seleccione un nivel de registro mínimo para cada instalación o NONE para recopilar ningún evento para esa instalación. Puede configurar varias instalaciones a la vez activando su casilla y seleccionando un nivel de registro en Establecer el nivel mínimo de registro para las instalaciones seleccionadas.

Captura de pantalla de la página para seleccionar el tipo de origen de datos y el nivel de registro mínimo.

Todos los registros con el nivel de gravedad seleccionado o superior se recopilan en la instalación. Los niveles de gravedad admitidos y su gravedad relativa son los siguientes:

  1. Depurar
  2. Información
  3. Aviso
  4. Advertencia
  5. Error
  6. Crítico
  7. Alerta
  8. Emergencia

Agregar destinos

Los datos de Syslog solo se pueden enviar a un área de trabajo de Log Analytics donde se almacena en la tabla syslog . Agregue un destino de tipo Registros de Azure Monitor y seleccione un área de trabajo de Log Analytics. Aunque puede agregar varias áreas de trabajo, tenga en cuenta que esto enviará datos duplicados a cada uno, lo que dará como resultado un costo adicional.

Recorte de pantalla en el que se muestra la configuración de un destino de registros de Azure Monitor en una regla de recopilación de datos.

Comprobación de la recopilación de datos

Para comprobar que se recopilan los datos, compruebe si hay registros en la tabla Syslog . En la máquina virtual o en el área de trabajo de Log Analytics en Azure Portal, seleccione Registros y, a continuación, haga clic en el botón Tablas . En la categoría Máquinas virtuales , haga clic en Ejecutar junto a Syslog.

Captura de pantalla que muestra los registros devueltos de la tabla Syslog.

Para obtener el procedimiento completo de configuración de la recopilación de datos de Syslog, consulte Recopilación de eventos de Syslog con el agente de Azure Monitor.

Comprobación de que el agente de Azure Monitor se está ejecutando

Desde Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se ejecuta en la máquina virtual.

  1. En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.

  2. Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.

  3. En General, seleccione Registros.

  4. Cierre la página Consultas para que aparezca la pestaña Nueva consulta.

  5. Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.

    Heartbeat
| where Computer == "vm-linux"
| take 10

Habilitación de la recepción de registros en el puerto 514

Compruebe que la máquina virtual que recopila los datos de registro permite la recepción en el puerto 514 TCP o UDP, según el origen de Syslog. Después, configure el demonio de Syslog Linux integrado en la máquina virtual para escuchar los mensajes de Syslog desde los dispositivos. Después de completar esos pasos, configure el dispositivo basado en Linux para enviar los registros a la máquina virtual.

Nota:

Si el firewall se está ejecutando, es necesario crear una regla para permitir que los sistemas remotos accedan al agente de escucha de syslog del demonio: systemctl status firewalld.service

  1. Adición para tcp 514 (la zona, puerto o protocolo puede diferir en función del escenario) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Adición para udp 514 (la zona, puerto o protocolo puede diferir en función del escenario) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Reinicio del servicio de firewall para asegurarse de que las nuevas reglas surtan efecto systemctl restart firewalld.service

En las dos secciones siguientes se explica cómo agregar una regla de puerto de entrada para una máquina virtual de Azure y configurar el demonio de Syslog Linux integrado.

Tráfico de Syslog entrante permitido en la máquina virtual

Si va a reenviar datos de Syslogs a una máquina virtual de Azure, siga estos pasos para permitir la recepción en el puerto 514.

  1. En Azure Portal, busque y seleccione Máquinas virtuales.

  2. Seleccione la máquina virtual.

  3. En Configuración, seleccione Redes.

  4. Seleccione Agregar regla de puerto de entrada.

  5. Escriba los siguientes valores:

    Campo Importancia
    Intervalos de puertos de destino 514
    Protocolo TCP o UDP en función del origen de Syslog
    Acción Allow
    Nombre AllowSyslogInbound

    Use los valores predeterminados para el resto de los campos.

  6. Seleccione Agregar.

Configuración del demonio de Syslog de Linux

Conéctese a la máquina virtual Linux y configure el demonio de Syslog de Linux. Por ejemplo, ejecute el siguiente comando, adaptando el comando según sea necesario para el entorno de red:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Este script realiza cambios para rsyslog.d y syslog-ng.

Nota:

Para evitar escenarios de disco completo en los que el agente no puede funcionar, debe establecer la configuración de syslog-ng o rsyslog en no almacenar los registros, que el agente no necesita. Un escenario de disco completo interrumpe la función del agente de Azure Monitor instalado. Obtenga más información sobre rsyslog o syslog-ng.

Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics

Después de configurar el dispositivo basado en Linux para enviar registros a la máquina virtual, compruebe que el agente de Azure Monitor reenvía los datos de Syslog al área de trabajo.

  1. En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.

  2. Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.

  3. En General, seleccione Registros.

  4. Cierre la página Consultas para que aparezca la pestaña Nueva consulta.

  5. Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.

    Syslog
| where Computer == "vm-linux"
| summarize by HostName

Limpieza de recursos

Evalúe si necesita los recursos como la máquina virtual que ha creado. Los recursos que deja en ejecución pueden costar dinero. Elimine los recursos que no necesite uno a uno. También puede eliminar el grupo de recursos para eliminar todos los recursos que ha creado.

Contenido relacionado

  • Last updated on