Partager via


Tutoriel : Transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’Agent Azure Monitor

Dans ce tutoriel, vous allez configurer une machine virtuelle Linux pour transférer des données Syslog vers votre espace de travail à l’aide de l’Agent Azure Monitor. Ces étapes vous permettent de collecter et surveiller les données d’appareils Linux sur lesquels vous ne pouvez pas installer un agent, comme un appareil réseau de pare-feu.

Remarque

Container Insights prend désormais en charge la collecte automatique des événements Syslog à partir des nœuds Linux de vos clusters AKS. Pour en savoir plus, consultez Collection Syslog avec Container Insights.

Configurez votre appareil linux pour envoyer des données à une machine virtuelle Linux. L’Agent Azure Monitor sur la machine virtuelle transfère les données Syslog vers l’espace de travail Log Analytics. Utilisez ensuite Microsoft Sentinel ou Azure Monitor pour surveiller l’appareil à partir des données stockées dans l’espace de travail Log Analytics.

Dans ce tutoriel, vous allez apprendre à :

  • Créer une règle de collecte de données.
  • Vérifiez que l’Agent Azure Monitor est en cours d’exécution.
  • Activez la réception de journal sur le port 514.
  • Vérifiez que les données Syslog sont transférées vers votre espace de travail Log Analytics.

Prérequis

Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants :

Configurez l’agent Azure Monitor pour collecter des données Syslog

Consultez les instructions pas à pas dans Collecter des événements Syslog avec l’agent Azure Monitor.

Vérifier que l’Agent Azure Monitor est en cours d’exécution

Dans Microsoft Sentinel ou Azure Monitor, vérifiez que l’Agent Azure Monitor s’exécute sur votre machine virtuelle.

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.

  2. Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.

  3. Sous Général, sélectionnez Journaux.

  4. Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.

  5. Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Activer la réception de journal sur le port 514

Vérifiez que la machine virtuelle qui collecte les données du journal autorise la réception sur le port 514 TCP ou UDP en fonction de la source Syslog. Ensuite, configurez le démon Syslog Linux intégré sur la machine virtuelle pour écouter les messages Syslog de vos appareils. Une fois ces étapes terminées, configurez votre appareil Linux pour envoyer des journaux à votre machine virtuelle.

Remarque

Si le pare-feu est en cours d’exécution, vous devez créer une règle pour permettre aux systèmes distants d’atteindre l’écouteur syslog du démon : systemctl status firewalld.service

  1. Ajoutez pour TCP 514 (votre zone/port/protocole peut différer selon votre scénario) : firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Ajoutez pour UDP 514 (votre zone/port/protocole peut différer selon votre scénario) : firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Redémarrez le service de pare-feu pour que les nouvelles règles prennent effet : systemctl restart firewalld.service

Les deux sections suivantes expliquent comment ajouter une règle de port entrant pour une machine virtuelle Azure et configurer le démon Syslog intégré Linux.

Autoriser le trafic Syslog entrant sur la machine virtuelle

Si vous transférez des données Syslog vers une machine virtuelle Azure, procédez comme suit pour autoriser la réception sur le port 514.

  1. Dans le portail Azure, recherchez et sélectionnez Machines virtuelles.

  2. Sélectionnez la machine virtuelle.

  3. Sous Paramètres, sélectionnez Mise en réseau.

  4. Sélectionnez Ajouter une règle de port d’entrée.

  5. Saisissez les valeurs suivantes.

    Champ Valeur
    Plages de ports de destination 514
    Protocol TCP ou UDP en fonction de la source Syslog
    Action Allow
    Nom AllowSyslogInbound

    Utilisez les valeurs par défaut pour les autres champs.

  6. Sélectionnez Ajouter.

Configurer le démon Syslog Linux

Connectez-vous à votre machine virtuelle Linux et configurez le démon Syslog Linux. Par exemple, exécutez la commande suivante, en l’adaptant à votre environnement réseau :

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Ce script peut apporter des modifications pour rsyslog.d et syslog-ng.

Remarque

Pour éviter les scénarios de disque complet dans lesquels l’agent ne peut pas fonctionner, nous vous recommandons de définir la configuration syslog-ng ou rsyslog pour ne pas stocker les journaux inutiles. Un scénario de disque complet interrompt le fonctionnement de l’Agent Azure Monitor installé. En savoir plus sur rsyslog ou syslog-ng.

Vérifier que les données Syslog sont transférées vers votre espace de travail Log Analytics

Après avoir configuré votre appareil Linux pour envoyer des journaux à votre machine virtuelle, vérifiez que l’Agent Azure Monitor transfère des données Syslog à votre espace de travail.

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.

  2. Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.

  3. Sous Général, sélectionnez Journaux.

  4. Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.

  5. Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Nettoyer les ressources

Évaluez si vous avez besoin des ressources telles que la machine virtuelle que vous avez créée. Les ressources que vous laissez fonctionner peuvent vous coûter cher. Supprimez les ressources dont vous n’avez pas besoin individuellement. Vous pouvez également supprimer le groupe de ressources afin de supprimer toutes les ressources que vous avez créées.