Syslog-adatforrások gyűjtése a Log Analytics-ügynökkel
Figyelemfelhívás
Ez a cikk az End Of Life (EOL) állapotú Linux-disztribúcióra, a CentOS-ra hivatkozik. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
A Syslog egy linuxos eseménynaplózási protokoll. Az alkalmazások olyan üzeneteket küldenek, amelyeket a helyi gépen tárolhatnak, vagy egy Syslog-gyűjtőnek kézbesítenek. A Linuxhoz készült Log Analytics-ügynök telepítésekor konfigurálja a helyi Syslog démont, hogy üzeneteket továbbítson az ügynöknek. Az ügynök ezután elküldi az üzeneteket az Azure Monitornak, ahol létrejön egy megfelelő rekord.
Fontos
Az örökölt Log Analytics-ügynök 2024. augusztus 31-étől elavult. A Microsoft a továbbiakban nem nyújt támogatást a Log Analytics-ügynökhöz. Ha a Log Analytics-ügynököt használja az adatok Azure Monitorba való betöltéséhez, migráljon most az Azure Monitor-ügynökbe.
Feljegyzés
Az Azure Monitor támogatja az rsyslog vagy syslog-ng által küldött üzenetek gyűjtését, ahol az rsyslog az alapértelmezett démon. A Syslog eseménygyűjtemény nem támogatja a Red Hat Enterprise Linux, CentOS és Oracle Linux verziójának (sysklog) 5-ös verziójára vonatkozó alapértelmezett Syslog-démont. A syslog-adatok ezen disztribúciók ezen verziójából való gyűjtéséhez telepíteni és konfigurálni kell az rsyslog démont a sysklog helyére.
A Syslog-gyűjtő a következő lehetőségeket támogatja:
- Kern
- user
- levélküldés
- Daemon
- auth
- syslog
- Lpr
- hírek
- Uucp
- cron
- authpriv
- ftp
- local0-local7
Bármely más létesítményhez konfiguráljon egyéni naplók adatforrást az Azure Monitorban.
A Syslog konfigurálása
A Linuxhoz készült Log Analytics-ügynök csak a konfigurációjában megadott létesítményekkel és súlyosságokkal rendelkező eseményeket gyűjti össze. A Syslogot az Azure Portalon vagy a Linux-ügynökök konfigurációs fájljainak kezelésével konfigurálhatja.
A Syslog konfigurálása az Azure Portalon
Konfigurálja a Syslogot a Log Analytics-munkaterület Ügynökkonfiguráció menüjéből . Ezt a konfigurációt minden Linux-ügynök konfigurációs fájljába kézbesíti a rendszer.
Új létesítmény hozzáadásához válassza a Létesítmény hozzáadása lehetőséget. Minden létesítmény esetében csak a kiválasztott súlyosságú üzenetek lesznek összegyűjtve. Válassza ki az összegyűjteni kívánt létesítmény súlyosságát. Nem adhat meg más feltételeket az üzenetek szűréséhez.
Alapértelmezés szerint a rendszer automatikusan leküldi az összes konfigurációs módosítást az összes ügynöknek. Ha manuálisan szeretné konfigurálni a Syslogot minden Linux-ügynökön, törölje az Alábbi konfiguráció alkalmazása a gépeimre jelölőnégyzet jelölését.
A Syslog konfigurálása Linux-ügynökön
Amikor a Log Analytics-ügynök linuxos ügyfélre van telepítve, egy alapértelmezett Syslog-konfigurációs fájlt telepít, amely meghatározza az összegyűjtött üzenetek létesítményét és súlyosságát. Ezt a fájlt módosíthatja a konfiguráció módosításához. A konfigurációs fájl az ügyfél által telepített Syslog démontól függően eltérő.
Feljegyzés
Ha szerkessze a Syslog-konfigurációt, újra kell indítania a Syslog démont a módosítások érvénybe lépéséhez.
rsyslog
Az rsyslog konfigurációs fájlja a következő helyen /etc/rsyslog.d/95-omsagent.conf
található: . Az alapértelmezett tartalom az alábbi példában látható. Ez a példa összegyűjti a helyi ügynöktől küldött Syslog-üzeneteket minden olyan létesítményhez, amely figyelmeztetési vagy magasabb szintű.
kern.warning @127.0.0.1:25224
user.warning @127.0.0.1:25224
daemon.warning @127.0.0.1:25224
auth.warning @127.0.0.1:25224
syslog.warning @127.0.0.1:25224
uucp.warning @127.0.0.1:25224
authpriv.warning @127.0.0.1:25224
ftp.warning @127.0.0.1:25224
cron.warning @127.0.0.1:25224
local0.warning @127.0.0.1:25224
local1.warning @127.0.0.1:25224
local2.warning @127.0.0.1:25224
local3.warning @127.0.0.1:25224
local4.warning @127.0.0.1:25224
local5.warning @127.0.0.1:25224
local6.warning @127.0.0.1:25224
local7.warning @127.0.0.1:25224
A létesítményt a konfigurációs fájl szakaszának eltávolításával távolíthatja el. A létesítmény bejegyzésének módosításával korlátozhatja az adott létesítményre vonatkozóan gyűjtött súlyosságokat. Ha például a felhasználói létesítményt olyan üzenetekre szeretné korlátozni, amelyek súlyossága hiba vagy nagyobb, a konfigurációs fájlnak ezt a sorát a következő példára kell módosítania:
user.error @127.0.0.1:25224
syslog-ng
A syslog-ng konfigurációs fájlja a következő helyen /etc/syslog-ng/syslog-ng.conf
található: . Ebben a példában az alapértelmezett tartalom jelenik meg. Ez a példa összegyűjti a helyi ügynöktől küldött Syslog-üzeneteket az összes létesítményhez és súlyossághoz.
#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };
#OMS_Destination
destination d_oms { udp("127.0.0.1" port(25224)); };
#OMS_facility = auth
filter f_auth_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(auth); };
log { source(src); filter(f_auth_oms); destination(d_oms); };
#OMS_facility = authpriv
filter f_authpriv_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(authpriv); };
log { source(src); filter(f_authpriv_oms); destination(d_oms); };
#OMS_facility = cron
filter f_cron_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(cron); };
log { source(src); filter(f_cron_oms); destination(d_oms); };
#OMS_facility = daemon
filter f_daemon_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(daemon); };
log { source(src); filter(f_daemon_oms); destination(d_oms); };
#OMS_facility = kern
filter f_kern_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(kern); };
log { source(src); filter(f_kern_oms); destination(d_oms); };
#OMS_facility = local0
filter f_local0_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local0); };
log { source(src); filter(f_local0_oms); destination(d_oms); };
#OMS_facility = local1
filter f_local1_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local1); };
log { source(src); filter(f_local1_oms); destination(d_oms); };
#OMS_facility = mail
filter f_mail_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(mail); };
log { source(src); filter(f_mail_oms); destination(d_oms); };
#OMS_facility = syslog
filter f_syslog_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(syslog); };
log { source(src); filter(f_syslog_oms); destination(d_oms); };
#OMS_facility = user
filter f_user_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };
A létesítményt a konfigurációs fájl szakaszának eltávolításával távolíthatja el. Az adott létesítményre vonatkozóan gyűjtött súlyosságokat úgy korlátozhatja, hogy eltávolítja őket a listáról. Ha például úgy szeretné korlátozni a felhasználói létesítményt, hogy csak kritikus üzeneteket küldjön, módosítsa a konfigurációs fájlnak ezt a szakaszát az alábbi példában látható módon:
#OMS_facility = user
filter f_user_oms { level(alert,crit) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };
Adatok gyűjtése más Syslog-portokból
A Log Analytics-ügynök figyeli a syslog-üzeneteket a helyi ügyfélen a 25224-ös porton. Az ügynök telepítésekor a rendszer egy alapértelmezett Syslog-konfigurációt alkalmaz, amely a következő helyen található:
- Rsyslog:
/etc/rsyslog.d/95-omsagent.conf
- Syslog-ng:
/etc/syslog-ng/syslog-ng.conf
A portszámot két konfigurációs fájl létrehozásával módosíthatja: egy FluentD konfigurációs fájlt és egy rsyslog-or-syslog-ng fájlt a telepített Syslog-démontól függően.
A FluentD konfigurációs fájlnak egy új fájlnak kell lennie, amelyben található
/etc/opt/microsoft/omsagent/conf/omsagent.d
, és cserélje le a bejegyzés értékét azport
egyéni portszámra.<source> type syslog port %SYSLOG_PORT% bind 127.0.0.1 protocol_type udp tag oms.syslog </source> <filter oms.syslog.**> type filter_syslog
Az rsyslog esetében létre kell hoznia egy új konfigurációs fájlt, amelyben található
/etc/rsyslog.d/
, és cserélje le az értéket%SYSLOG_PORT%
az egyéni portszámra.Feljegyzés
Ha módosítja ezt az értéket a konfigurációs fájlban
95-omsagent.conf
, az felülíródik, amikor az ügynök alapértelmezett konfigurációt alkalmaz.# OMS Syslog collection for workspace %WORKSPACE_ID% kern.warning @127.0.0.1:%SYSLOG_PORT% user.warning @127.0.0.1:%SYSLOG_PORT% daemon.warning @127.0.0.1:%SYSLOG_PORT% auth.warning @127.0.0.1:%SYSLOG_PORT%
A syslog-ng konfigurációt úgy kell módosítani, hogy a következő példában látható konfigurációt másolja, és hozzáadja az egyéni módosított beállításokat a konfigurációs fájl végéhez
/etc/syslog-ng/
.syslog-ng.conf
Ne használja az alapértelmezett címkét vagy%WORKSPACE_ID_OMS
a .%WORKSPACE_ID%_oms
Egyéni címke definiálása a módosítások megkülönböztetéséhez.Feljegyzés
Ha módosítja a konfigurációs fájl alapértelmezett értékeit, azok felülíródnak, amikor az ügynök alapértelmezett konfigurációt alkalmaz.
filter f_custom_filter { level(warning) and facility(auth; }; destination d_custom_dest { udp("127.0.0.1" port(%SYSLOG_PORT%)); }; log { source(s_src); filter(f_custom_filter); destination(d_custom_dest); };
A módosítások befejezése után indítsa újra a Syslogot és a Log Analytics-ügynökszolgáltatást, hogy a konfigurációs módosítások érvénybe lépjenek.
Syslog-rekord tulajdonságai
A Syslog-rekordok a Syslog típusával rendelkeznek, és a tulajdonságok az alábbi táblázatban láthatók.
Tulajdonság | Leírás |
---|---|
Számítógép | Számítógép, amelyről az eseményt összegyűjtötték. |
Létesítmény | Meghatározza az üzenetet létrehozó rendszerrészt. |
HostIP | Az üzenetet küldő rendszer IP-címe. |
HostName | Az üzenetet küldő rendszer neve. |
Súlyossági szint | Az esemény súlyossági szintje. |
SyslogMessage | Az üzenet szövege. |
ProcessID | Az üzenetet létrehozó folyamat azonosítója. |
EventTime | Az esemény létrehozásának dátuma és időpontja. |
Lekérdezések naplózása Syslog-rekordokkal
Az alábbi táblázat különböző példákat tartalmaz a Syslog-rekordokat lekérő napló lekérdezésekre.
Lekérdezés | Leírás |
---|---|
Rendszernapló | Minden syslogs |
Syslog | where SeverityLevel == "error" | A hiba súlyosságú összes Syslog-rekord |
Syslog | summarize AggregatedValue = count() by Computer | Syslog-rekordok száma számítógép szerint |
Syslog | summarize AggregatedValue = count() by Facility | Syslog-rekordok száma létesítmény szerint |
Következő lépések
- Megismerheti a napló lekérdezéseket az adatforrásokból és megoldásokból gyűjtött adatok elemzéséhez.
- Egyéni mezők használatával elemezhet adatokat a Syslog-rekordokból az egyes mezőkbe.
- Konfigurálja a Linux-ügynököket más típusú adatok gyűjtésére.