Tutorial: Meneruskan data Syslog ke ruang kerja Analitik Log dengan Microsoft Azure Sentinel dengan menggunakan Agen Azure Monitor

Dalam tutorial ini, Anda mengonfigurasi komputer virtual (VM) Linux untuk meneruskan data Syslog ke ruang kerja Anda dengan menggunakan Agen Azure Monitor. Langkah ini memungkinkan Anda mengumpulkan dan memantau data dari perangkat berbasis Linux di mana Anda tidak dapat menginstal agen seperti perangkat jaringan firewall.

Catatan

Container Insights sekarang mendukung pengumpulan otomatis peristiwa Syslog dari simpul Linux di kluster AKS Anda. Untuk mempelajari lebih lanjut, lihat Koleksi Syslog dengan Container Insights.

Konfigurasikan perangkat berbasis Linux Anda untuk mengirim data ke VM Linux. Agen Azure Monitor pada VM meneruskan data Syslog ke ruang kerja Analitik Log. Kemudian gunakan Microsoft Sentinel atau Azure Monitor untuk memantau perangkat dari data yang disimpan di ruang kerja Analitik Log.

Dalam tutorial ini, Anda akan mempelajari cara:

• Membuat aturan pengumpulan data.
• Verifikasi bahwa Agen Azure Monitor sedang berjalan.
• Aktifkan penerimaan log pada port 514.
• Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam tutorial ini, Anda harus memiliki sumber daya dan peran berikut:

• Akun Azure dengan langganan aktif. Buat akun secara gratis.

• Akun Azure dengan peran berikut untuk menyebarkan agen dan membuat aturan pengumpulan data.

  Peran bawaan	Cakupan	Alasan
  - Kontributor Mesin Virtual - Administrator Sumber Daya Azure Connected Machine	- Komputer virtual - Set skala- Server dengan dukungan Azure Arc	Untuk menyebarkan agen
  Peran apa pun yang menyertakan tindakan Microsoft.Resources/deployments/*	- Langganan - Grup sumber daya- Aturan pengumpulan data yang ada	Untuk menyebarkan templat Azure Resource Manager
  Kontributor Pemantauan	- Langganan - Grup sumber daya - Aturan pengumpulan data yang ada	Untuk membuat atau mengedit aturan pengumpulan data

• Ruang kerja Analitik Log.

• Server Linux yang menjalankan sistem operasi yang mendukung Agen Azure Monitor.

  • Sistem operasi Linux yang didukung untuk Agen Azure Monitor.
  • Buat VM Linux di portal Azure atau tambahkan server Linux lokal ke Azure Arc.

• Perangkat berbasis Linux yang menghasilkan data log peristiwa seperti perangkat jaringan firewall.

Membuat aturan pengumpulan data

Lihat instruksi langkah demi langkah di Membuat aturan pengumpulan data.

Verifikasi bahwa Agen Azure Monitor sedang berjalan

Di Microsoft Azure Sentinel atau Azure Monitor, verifikasi bahwa Agen Azure Monitor berjalan di VM Anda.

1. Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.

2. Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.

3. Di bagianUmum, pilih Log.

4. Tutup halaman Kueri sehingga tab Kueri Baru muncul.

5. Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

Mengaktifkan penerimaan log pada port 514

Verifikasi bahwa VM yang mengumpulkan data log memungkinkan penerimaan pada port 514 TCP atau UDP tergantung pada sumber Syslog. Kemudian konfigurasikan daemon Linux Syslog bawaan pada VM untuk mendengarkan pesan Syslog dari perangkat Anda. Setelah Anda menyelesaikan langkah-langkah tersebut, konfigurasikan perangkat berbasis Linux Anda untuk mengirim log ke VM Anda.

Dua bagian berikut mencakup cara menambahkan aturan port masuk untuk Azure VM dan mengonfigurasi daemon Linux Syslog bawaan.

Mengizinkan lalu lintas Syslog masuk pada VM

Jika Anda meneruskan data Syslog ke Azure VM, ikuti langkah-langkah ini untuk mengizinkan penerimaan pada port 514.

1. Di portal Azure, cari dan pilih Mesin Virtual.

2. Pilih komputer virtual.

3. Di Pengaturan, pilih Jaringan.

4. Pilih Tambahkan aturan port masuk.

5. Masukkan nilai berikut.

   Bidang	Nilai
   Rentang port tujuan	514
   Protokol	TCP atau UDP tergantung pada sumber Syslog
   Tindakan	Izinkan
   Nama	AllowSyslogInbound

   Gunakan nilai default untuk bidang lainnya.

6. Pilih Tambahkan.

Mengonfigurasi daemon Linux Syslog

Sambungkan ke VM Linux Anda dan jalankan perintah berikut untuk mengonfigurasi daemon Linux Syslog:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Skrip ini dapat membuat perubahan untuk rsyslog.d dan syslog-ng.

Catatan

Untuk menghindari skenario Disk Penuh di mana agen tidak dapat berfungsi, kami sarankan Anda mengatur syslog-ng konfigurasi atau rsyslog untuk tidak menyimpan log yang tidak diperlukan. Skenario Disk Penuh mengganggu fungsi Agen Azure Monitor yang diinstal. Baca selengkapnya tentang rsyslog atau syslog-ng.

Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda

Setelah Mengonfigurasi perangkat berbasis Linux untuk mengirim log ke VM Anda, verifikasi bahwa Agen Azure Monitor meneruskan data Syslog ke ruang kerja Anda.

1. Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.

2. Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.

3. Di bagianUmum, pilih Log.

4. Tutup halaman Kueri sehingga tab Kueri Baru muncul.

5. Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

Membersihkan sumber daya

Evaluasi apakah Anda memerlukan sumber daya seperti VM yang Anda buat. Sumber daya yang Anda biarkan berjalan dapat dikenakan biaya. Hapus sumber daya yang tidak Anda butuhkan satu per satu. Anda juga dapat menghapus grup sumber daya untuk menghapus semua sumber daya yang Anda buat.

Konten terkait

• Aturan pengumpulan data di Azure Monitor
• Mengumpulkan peristiwa Syslog dengan Agen Azure Monitor