Planifier la collecte des données Syslog
Vous pouvez envoyer en streaming à Microsoft Sentinel des événements à partir de machines ou d’appliances Linux prenant en charge Syslog, en utilisant l’Agent Azure Monitor pour Linux et des règles de collecte de données. Vous pouvez faire ce streaming pour tous les appareils qui autorisent l’installation de l’agent directement sur l’hôte. Le démon Syslog natif de l’hôte collecte les événements locaux des types spécifiés et les transfère localement à l’agent, qui les envoie en streaming à votre espace de travail Log Analytics.
Log Analytics prend en charge la collecte de messages envoyés par les démons rsyslog ou syslog-ng, où rsyslog est le démon par défaut. Le démon syslog par défaut sur la version 5 de Red Hat Enterprise Linux (RHEL), CentOS et Oracle Linux (sysklog) n’est pas pris en charge pour la collecte d’événements Syslog. Vous devez installer et configurer le démon rsyslog afin de remplacer sysklog pour ces versions de Linux.
Fonctionnement
Syslog est un protocole de journalisation des événements commun à Linux. Quand l’agent est installé sur votre machine virtuelle ou appliance, la routine d’installation configure le démon Syslog local pour qu’il transfère les messages à l’agent sur le port TCP 25224. L’agent envoie ensuite le message à votre espace de travail Log Analytics sur HTTPS, où il est analysé comme entrée de journal des événements dans la table Syslog sous Microsoft Sentinel > Journaux.