Zelfstudie: Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van Azure Monitor Agent
In deze zelfstudie configureert u een virtuele Linux-machine (VM) om Syslog-gegevens door te sturen naar uw werkruimte met behulp van Azure Monitor Agent. Met deze stappen kunt u gegevens verzamelen en bewaken van Linux-apparaten waarop u geen agent zoals een firewallnetwerkapparaat kunt installeren.
Notitie
Container Insights ondersteunt nu de automatische verzameling Syslog-gebeurtenissen van Linux-knooppunten in uw AKS-clusters. Zie de Syslog-verzameling met Container Insights voor meer informatie.
Configureer uw Op Linux gebaseerde apparaat om gegevens te verzenden naar een Virtuele Linux-machine. De Azure Monitor-agent op de virtuele machine stuurt de Syslog-gegevens door naar de Log Analytics-werkruimte. Gebruik vervolgens Microsoft Sentinel of Azure Monitor om het apparaat te bewaken op basis van de gegevens die zijn opgeslagen in de Log Analytics-werkruimte.
In deze zelfstudie leert u het volgende:
- Maak een gegevensverzamelingsregel.
- Controleer of de Azure Monitor-agent wordt uitgevoerd.
- Schakel de receptie van logboeken in op poort 514.
- Controleer of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte.
Vereisten
Als u de stappen in deze zelfstudie wilt uitvoeren, moet u over de volgende resources en rollen beschikken:
Een Azure-account met een actief abonnement. Gratis een account maken
Een Azure-account met de volgende rollen om de agent te implementeren en de regels voor gegevensverzameling te maken.
Ingebouwde rol Bereik Reden - Resourcebeheerder voor inzender
- voor virtuele machines in Azure Connected Machine- Virtuele machines
- Schaalsets
- Servers met Azure ArcDe agent implementeren Elke rol die de actie Microsoft.Resources/deployments/* bevat - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingAzure Resource Manager-sjablonen implementeren Controlebijdrager - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingRegels voor gegevensverzameling maken of bewerken Een Log Analytics-werkruimte.
Een Linux-server waarop een besturingssysteem wordt uitgevoerd dat ondersteuning biedt voor De Azure Monitor-agent.
Een op Linux gebaseerd apparaat dat gebeurtenislogboekgegevens genereert, zoals een firewallnetwerkapparaat.
Een regel voor gegevensverzameling maken
Zie de stapsgewijze instructies in Een regel voor gegevensverzameling maken.
Controleer of de Azure Monitor-agent wordt uitgevoerd
Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VIRTUELE machine.
Zoek en open Microsoft Sentinel of Azure Monitor in Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Heartbeat | where Computer == "vm-linux" | take 10
Logboekontvangst inschakelen op poort 514
Controleer of de VM die de logboekgegevens verzamelt, de ontvangst op poort 514 TCP of UDP toestaat, afhankelijk van de Syslog-bron. Configureer vervolgens de ingebouwde Linux Syslog-daemon op de VIRTUELE machine om te luisteren naar Syslog-berichten van uw apparaten. Nadat u deze stappen hebt voltooid, configureert u het op Linux gebaseerde apparaat om logboeken naar uw VM te verzenden.
In de volgende twee secties wordt beschreven hoe u een regel voor binnenkomende poorten toevoegt voor een Azure-VM en hoe u de ingebouwde Linux Syslog-daemon configureert.
Binnenkomend Syslog-verkeer op de VIRTUELE machine toestaan
Als u Syslog-gegevens doorstuurt naar een Azure-VM, volgt u deze stappen om ontvangst op poort 514 toe te staan.
Zoek en selecteer virtuele machines in Azure Portal.
Selecteer de VM.
Selecteer Onder Instellingen de optie Netwerken.
Selecteer Add inbound port rule.
Voer de volgende waarden in.
Veld Waarde Poortbereiken van doel 514 Protocol TCP of UDP, afhankelijk van de Syslog-bron Actie Toestaan Naam AllowSyslogInbound Gebruik de standaardwaarden voor de overige velden.
Selecteer Toevoegen.
De Linux Syslog-daemon configureren
Maak verbinding met uw Linux-VM en voer de volgende opdracht uit om de Linux Syslog-daemon te configureren:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Dit script kan wijzigingen aanbrengen voor zowel rsyslog.d als syslog-ng.
Notitie
Om scenario's met volledige schijven te voorkomen waarbij de agent niet kan functioneren, raden we u aan om de syslog-ng
of rsyslog
configuratie niet in te stellen om overbodige logboeken op te slaan. Een scenario met volledige schijf verstoort de functie van de geïnstalleerde Azure Monitor-agent.
Lees meer over rsyslog of syslog-ng.
Controleren of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte
Nadat u uw Linux-apparaat hebt geconfigureerd om logboeken naar uw VM te verzenden, controleert u of de Azure Monitor-agent Syslog-gegevens doorstuurt naar uw werkruimte.
Zoek en open Microsoft Sentinel of Azure Monitor in Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Syslog | where Computer == "vm-linux" | summarize by HostName
Resources opschonen
Evalueer of u de resources nodig hebt, zoals de VM die u hebt gemaakt. Resources die u verlaat, kunnen u geld kosten. Verwijder de resources die u niet afzonderlijk nodig hebt. U kunt ook de resourcegroep verwijderen om alle resources te verwijderen die u hebt gemaakt.
Gerelateerde inhoud
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar:Feedback verzenden en bekijken voor