Pianificare la raccolta di dati Syslog
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux che ha raggiunto lo stato di fine del servizio (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
È possibile trasmettere gli eventi da computer o appliance basati su Linux che supportano Syslog a Microsoft Sentinel usando l'agente di Monitoraggio di Azure per Linux e le regole di raccolta dati. È possibile eseguire la trasmissione da qualsiasi dispositivo che consente di installare l'agente direttamente nell'host. Il daemon Syslog nativo dell'host raccoglie gli eventi locali dei tipi specificati e li inoltrerà localmente all'agente, che li trasmette all'area di lavoro Log Analytics.
Log Analytics supporta la raccolta di messaggi inviati dai daemon rsyslog o syslog-ng, dove rsyslog è quello predefinito. Il daemon syslog predefinito nella versione 5 di Red Hat Enterprise Linux (RHEL), CentOS e nella versione Oracle Linux (sysklog) non è supportato per la raccolta di eventi syslog. Il daemon rsyslog deve essere installato e configurato per sostituire sysklog in queste versioni di Linux.
Funzionamento
Syslog è un protocollo di registrazione di eventi comunemente usato in Linux. Quando l'agente Linux è installato nella macchina virtuale o nell'appliance, la routine di installazione configura il daemon Syslog locale per l'inoltro dei messaggi all'agente sulla porta TCP 25224. L'agente invia quindi il messaggio all'area di lavoro di Log Analytics su HTTPS, dove viene analizzato in una voce del log di eventi nella tabella Syslog in Microsoft Sentinel > Log.