Bagikan melalui


Tutorial: Meneruskan data Syslog ke ruang kerja Analitik Log dengan Microsoft Azure Sentinel dengan menggunakan Agen Azure Monitor

Dalam tutorial ini, Anda mengonfigurasi komputer virtual (VM) Linux untuk meneruskan data Syslog ke ruang kerja Anda dengan menggunakan Agen Azure Monitor. Langkah ini memungkinkan Anda mengumpulkan dan memantau data dari perangkat berbasis Linux di mana Anda tidak dapat menginstal agen seperti perangkat jaringan firewall.

Catatan

Container Insights sekarang mendukung pengumpulan otomatis peristiwa Syslog dari simpul Linux di kluster AKS Anda. Untuk mempelajari lebih lanjut, lihat Koleksi Syslog dengan Container Insights.

Konfigurasikan perangkat berbasis Linux Anda untuk mengirim data ke VM Linux. Agen Azure Monitor pada VM meneruskan data Syslog ke ruang kerja Analitik Log. Kemudian gunakan Microsoft Sentinel atau Azure Monitor untuk memantau perangkat dari data yang disimpan di ruang kerja Analitik Log.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat aturan pengumpulan data.
  • Verifikasi bahwa Agen Azure Monitor sedang berjalan.
  • Aktifkan penerimaan log pada port 514.
  • Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam tutorial ini, Anda harus memiliki sumber daya dan peran berikut:

Membuat aturan pengumpulan data

Lihat instruksi langkah demi langkah di Membuat aturan pengumpulan data.

Verifikasi bahwa Agen Azure Monitor sedang berjalan

Di Microsoft Azure Sentinel atau Azure Monitor, verifikasi bahwa Agen Azure Monitor berjalan di VM Anda.

  1. Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.

  2. Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.

  3. Di bagianUmum, pilih Log.

  4. Tutup halaman Kueri sehingga tab Kueri Baru muncul.

  5. Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Mengaktifkan penerimaan log pada port 514

Verifikasi bahwa VM yang mengumpulkan data log memungkinkan penerimaan pada port 514 TCP atau UDP tergantung pada sumber Syslog. Kemudian konfigurasikan daemon Linux Syslog bawaan pada VM untuk mendengarkan pesan Syslog dari perangkat Anda. Setelah Anda menyelesaikan langkah-langkah tersebut, konfigurasikan perangkat berbasis Linux Anda untuk mengirim log ke VM Anda.

Dua bagian berikut mencakup cara menambahkan aturan port masuk untuk Azure VM dan mengonfigurasi daemon Linux Syslog bawaan.

Mengizinkan lalu lintas Syslog masuk pada VM

Jika Anda meneruskan data Syslog ke Azure VM, ikuti langkah-langkah ini untuk mengizinkan penerimaan pada port 514.

  1. Di portal Azure, cari dan pilih Mesin Virtual.

  2. Pilih komputer virtual.

  3. Di Pengaturan, pilih Jaringan.

  4. Pilih Tambahkan aturan port masuk.

  5. Masukkan nilai berikut.

    Bidang Nilai
    Rentang port tujuan 514
    Protokol TCP atau UDP tergantung pada sumber Syslog
    Tindakan Izinkan
    Nama AllowSyslogInbound

    Gunakan nilai default untuk bidang lainnya.

  6. Pilih Tambahkan.

Mengonfigurasi daemon Linux Syslog

Sambungkan ke VM Linux Anda dan jalankan perintah berikut untuk mengonfigurasi daemon Linux Syslog:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Skrip ini dapat membuat perubahan untuk rsyslog.d dan syslog-ng.

Catatan

Untuk menghindari skenario Disk Penuh di mana agen tidak dapat berfungsi, kami sarankan Anda mengatur syslog-ng konfigurasi atau rsyslog untuk tidak menyimpan log yang tidak diperlukan. Skenario Disk Penuh mengganggu fungsi Agen Azure Monitor yang diinstal. Baca selengkapnya tentang rsyslog atau syslog-ng.

Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda

Setelah Mengonfigurasi perangkat berbasis Linux untuk mengirim log ke VM Anda, verifikasi bahwa Agen Azure Monitor meneruskan data Syslog ke ruang kerja Anda.

  1. Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.

  2. Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.

  3. Di bagianUmum, pilih Log.

  4. Tutup halaman Kueri sehingga tab Kueri Baru muncul.

  5. Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Membersihkan sumber daya

Evaluasi apakah Anda memerlukan sumber daya seperti VM yang Anda buat. Sumber daya yang Anda biarkan berjalan dapat dikenakan biaya. Hapus sumber daya yang tidak Anda butuhkan satu per satu. Anda juga dapat menghapus grup sumber daya untuk menghapus semua sumber daya yang Anda buat.