Tutoriel : Transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’Agent Azure Monitor

Dans ce tutoriel, vous allez configurer une machine virtuelle Linux pour transférer des données Syslog vers votre espace de travail à l’aide de l’Agent Azure Monitor. Ces étapes vous permettent de collecter et surveiller les données d’appareils Linux sur lesquels vous ne pouvez pas installer un agent, comme un appareil réseau de pare-feu.

Remarque

Container Insights prend désormais en charge la collecte automatique des événements Syslog à partir des nœuds Linux de vos clusters AKS. Pour en savoir plus, consultez Collection Syslog avec Container Insights.

Configurez votre appareil linux pour envoyer des données à une machine virtuelle Linux. L’Agent Azure Monitor sur la machine virtuelle transfère les données Syslog vers l’espace de travail Log Analytics. Utilisez ensuite Microsoft Sentinel ou Azure Monitor pour surveiller l’appareil à partir des données stockées dans l’espace de travail Log Analytics.

Dans ce tutoriel, vous allez apprendre à :

• Créer une règle de collecte de données.
• Vérifiez que l’Agent Azure Monitor est en cours d’exécution.
• Activez la réception de journal sur le port 514.
• Vérifiez que les données Syslog sont transférées vers votre espace de travail Log Analytics.

Prérequis

Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants :

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Un compte Azure avec les rôles suivants pour déployer l’agent et créer les règles de collecte de données.

  Rôle intégré	Étendue	Motif
  - Contributeur de machine virtuelle - Administrateur de ressources de machine connectée Azure	- Machines virtuelles - Groupes identiques - Serveurs avec Azure Arc	Pour déployer l’agent
  Tout rôle incluant l’action Microsoft.Resources/deployments/*	- Abonnement - Groupe de ressources - Règle de collecte de données existante	Pour déployer des modèles Azure Resource Manager
  Contributeur de surveillance	- Abonnement - Groupe de ressources - Règle de collecte de données existante	Pour créer ou modifier des règles de collecte de données

• Un espace de travail Log Analytics.

• Un serveur Linux exécutant un système d’exploitation prenant en charge l’Agent Azure Monitor.

  • Systèmes d’exploitation Linux pris en charge pour l’Agent Azure Monitor.
  • Créez une machine virtuelle Linux dans le Portail Azure ou ajoutez un serveur Linux local à Azure Arc.

• Un appareil Linux qui génère des données de journal des événements comme un appareil réseau de pare-feu.

Configurer la source de données Syslog

Créez la DCR en suivant le processus décrit dans Collecte des données à partir du client de machine virtuelle avec Azure Monitor. Sous l’onglet Collecter et remettre de la DCR, sélectionnez Syslog Linux dans la liste déroulante type de source de données .

Sélectionnez un niveau de journal minimal pour chaque installation ou NONE pour collecter aucun événement pour cette installation. Vous pouvez configurer plusieurs installations à la fois en cochant leur case, puis en sélectionnant un niveau de journal dans Définir le niveau minimal du journal pour les installations sélectionnées.

Tous les journaux avec le niveau de gravité sélectionné et supérieur sont collectés pour l’installation. Les niveaux de gravité pris en charge et leur gravité relative sont les suivants :

1. Déboguer
2. Informations
3. Prévenir
4. Avertissement
5. Erreur
6. Essentiel
7. Alerte
8. Urgence

Ajouter des destinations

Les données Syslog ne peuvent être envoyées qu’à un espace de travail Log Analytics où elles sont stockées dans la table Syslog . Ajoutez une destination de type Journaux Azure Monitor et sélectionnez un espace de travail Log Analytics. Bien que vous puissiez ajouter plusieurs espaces de travail, sachez que cela envoie des données en double à chacune d’elles, ce qui entraîne un coût supplémentaire.

Vérifier la collecte de données

Pour vérifier que les données sont collectées, recherchez les enregistrements dans la table Syslog . À partir de la machine virtuelle ou de l’espace de travail Log Analytics dans le portail Azure, sélectionnez Journaux , puis cliquez sur le bouton Tables . Sous la catégorie Machines virtuelles, cliquez sur Exécuter à côté de Syslog.

Pour obtenir la procédure complète de configuration de la collecte de données Syslog, consultez Collecter des événements Syslog avec l’agent Azure Monitor.

Vérifier que l’Agent Azure Monitor est en cours d’exécution

Dans Microsoft Sentinel ou Azure Monitor, vérifiez que l’Agent Azure Monitor s’exécute sur votre machine virtuelle.

1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.

2. Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.

3. Sous Général, sélectionnez Journaux.

4. Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.

5. Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

Activer la réception de journal sur le port 514

Vérifiez que la machine virtuelle qui collecte les données du journal autorise la réception sur le port 514 TCP ou UDP en fonction de la source Syslog. Ensuite, configurez le démon Syslog Linux intégré sur la machine virtuelle pour écouter les messages Syslog de vos appareils. Une fois ces étapes terminées, configurez votre appareil Linux pour envoyer des journaux à votre machine virtuelle.

Remarque

Si le pare-feu est en cours d’exécution, vous devez créer une règle pour permettre aux systèmes distants d’atteindre l’écouteur syslog du démon : systemctl status firewalld.service

1. Ajoutez pour TCP 514 (votre zone/port/protocole peut différer selon votre scénario) : firewall-cmd --zone=public --add-port=514/tcp --permanent
2. Ajoutez pour UDP 514 (votre zone/port/protocole peut différer selon votre scénario) : firewall-cmd --zone=public --add-port=514/udp --permanent
3. Redémarrez le service de pare-feu pour que les nouvelles règles prennent effet : systemctl restart firewalld.service

Les deux sections suivantes expliquent comment ajouter une règle de port entrant pour une machine virtuelle Azure et configurer le démon Syslog intégré Linux.

Autoriser le trafic Syslog entrant sur la machine virtuelle

Si vous transférez des données Syslog vers une machine virtuelle Azure, procédez comme suit pour autoriser la réception sur le port 514.

1. Dans le portail Azure, recherchez et sélectionnez Machines virtuelles.

2. Sélectionnez la machine virtuelle.

3. Sous Paramètres, sélectionnez Mise en réseau.

4. Sélectionnez Ajouter une règle de port d’entrée.

5. Saisissez les valeurs suivantes.

   Champ	Valeur
   Plages de ports de destination	514
   Protocole	TCP ou UDP en fonction de la source Syslog
   Action	Permettre
   Nom	AllowSyslogInbound

   Utilisez les valeurs par défaut pour les autres champs.

6. Sélectionnez Ajouter.

Configurer le démon Syslog Linux

Connectez-vous à votre machine virtuelle Linux et configurez le démon Syslog Linux. Par exemple, exécutez la commande suivante, en l’adaptant à votre environnement réseau :

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Ce script peut apporter des modifications pour rsyslog.d et syslog-ng.

Remarque

Pour éviter scénarios de disque complet où l’agent ne peut pas fonctionner, vous devez définir la configuration syslog-ng ou rsyslog pour ne pas stocker les journaux, ce qui n’est pas nécessaire par l’agent. Un scénario de disque complet interrompt le fonctionnement de l’Agent Azure Monitor installé. En savoir plus sur rsyslog ou syslog-ng.

Vérifier que les données Syslog sont transférées vers votre espace de travail Log Analytics

Après avoir configuré votre appareil Linux pour envoyer des journaux à votre machine virtuelle, vérifiez que l’Agent Azure Monitor transfère des données Syslog à votre espace de travail.

1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.

2. Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.

3. Sous Général, sélectionnez Journaux.

4. Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.

5. Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

Nettoyer les ressources

Évaluez si vous avez besoin des ressources telles que la machine virtuelle que vous avez créée. Les ressources que vous laissez fonctionner peuvent vous coûter cher. Supprimez les ressources dont vous n’avez pas besoin individuellement. Vous pouvez également supprimer le groupe de ressources afin de supprimer toutes les ressources que vous avez créées.

Contenu connexe

• Règles de collecte de données dans Azure Monitor
• Collecter des événements Syslog avec l’agent Azure Monitor