Samouczek: przekazywanie danych dziennika systemu do obszaru roboczego usługi Log Analytics za pomocą usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor

W tym samouczku skonfigurujesz maszynę wirtualną z systemem Linux, aby przekazywać dane dziennika systemowego do obszaru roboczego przy użyciu agenta usługi Azure Monitor. Te kroki umożliwiają zbieranie i monitorowanie danych z urządzeń z systemem Linux, na których nie można zainstalować agenta takiego jak urządzenie sieciowe zapory.

Uwaga

Usługa Container Insights obsługuje teraz automatyczną kolekcję zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi AKS. Aby dowiedzieć się więcej, zobacz Zbieranie dzienników syslog za pomocą usługi Container Insights.

Skonfiguruj urządzenie z systemem Linux w celu wysyłania danych do maszyny wirtualnej z systemem Linux. Agent usługi Azure Monitor na maszynie wirtualnej przekazuje dane dziennika systemowego do obszaru roboczego usługi Log Analytics. Następnie użyj usługi Microsoft Sentinel lub Azure Monitor, aby monitorować urządzenie z danych przechowywanych w obszarze roboczym usługi Log Analytics.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Utwórz regułę zbierania danych.
• Sprawdź, czy agent usługi Azure Monitor jest uruchomiony.
• Włącz odbiór dziennika na porcie 514.
• Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics.

Wymagania wstępne

Aby wykonać kroki opisane w tym samouczku, musisz mieć następujące zasoby i role:

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Konto platformy Azure z następującymi rolami w celu wdrożenia agenta i utworzenia reguł zbierania danych.

  Rola wbudowana	Scope	Przyczyna
  - Współautor - maszyny wirtualnej — administrator zasobów połączonej maszyny platformy Azure	— Maszyny wirtualne — zestawy skalowania — serwery z obsługą usługi Azure Arc	Aby wdrożyć agenta
  Dowolna rola obejmująca akcję Microsoft.Resources/deployments/*	— Subskrypcja — grupa zasobów — istniejąca reguła zbierania danych	Aby wdrożyć szablony usługi Azure Resource Manager
  Współautor monitorowania	— Subskrypcja — grupa zasobów — istniejąca reguła zbierania danych	Aby utworzyć lub edytować reguły zbierania danych

• Obszar roboczy usługi Log Analytics.

• Serwer z systemem Linux z systemem operacyjnym obsługującym agenta usługi Azure Monitor.

  • Obsługiwane systemy operacyjne Linux dla agenta usługi Azure Monitor.
  • Utwórz maszynę wirtualną z systemem Linux w witrynie Azure Portal lub dodaj lokalny serwer z systemem Linux do usługi Azure Arc.

• Urządzenie oparte na systemie Linux, które generuje dane dziennika zdarzeń, takie jak urządzenie sieciowe zapory.

Konfigurowanie agenta usługi Azure Monitor w celu zbierania danych dziennika systemowego

Zapoznaj się z instrukcjami krok po kroku w temacie Zbieranie zdarzeń dziennika systemowego za pomocą agenta usługi Azure Monitor.

Sprawdź, czy agent usługi Azure Monitor jest uruchomiony

W usłudze Microsoft Sentinel lub Azure Monitor sprawdź, czy agent usługi Azure Monitor jest uruchomiony na maszynie wirtualnej.

1. W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.

2. Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.

3. W obszarze Ogólne wybierz pozycję Dzienniki.

4. Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.

5. Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

Włączanie odbioru dziennika na porcie 514

Sprawdź, czy maszyna wirtualna zbierająca dane dziennika zezwala na odbiór na porcie 514 TCP lub UDP w zależności od źródła dziennika systemowego. Następnie skonfiguruj wbudowane demona dziennika systemowego systemu Linux na maszynie wirtualnej, aby nasłuchiwać komunikatów dziennika systemowego z urządzeń. Po wykonaniu tych kroków skonfiguruj urządzenie oparte na systemie Linux, aby wysyłało dzienniki do maszyny wirtualnej.

Uwaga

Jeśli zapora jest uruchomiona, należy utworzyć regułę, aby umożliwić systemom zdalnym dostęp do odbiornika dziennika systemowego demona: systemctl status firewalld.service

1. Dodaj dla protokołu tcp 514 (twój strefowy/port/protokół może się różnić w zależności od scenariusza) firewall-cmd --zone=public --add-port=514/tcp --permanent
2. Dodaj dla protokołu udp 514 (twoja strefa/port/protokół może się różnić w zależności od scenariusza) firewall-cmd --zone=public --add-port=514/udp --permanent
3. Uruchom ponownie usługę zapory, aby upewnić się, że nowe reguły zostaną zastosowane systemctl restart firewalld.service

W poniższych dwóch sekcjach opisano sposób dodawania reguły portu przychodzącego dla maszyny wirtualnej platformy Azure i konfigurowania wbudowanego demona dziennika systemowego systemu Linux.

Zezwalaj na przychodzący ruch syslogu na maszynie wirtualnej

Jeśli przekazujesz dane dziennika systemowego do maszyny wirtualnej platformy Azure, wykonaj następujące kroki, aby zezwolić na odbiór na porcie 514.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.

2. Wybierz maszynę wirtualną.

3. W obszarze Ustawienia wybierz pozycję Sieć.

4. Wybierz pozycję Dodaj regułę portu wejściowego.

5. Wprowadź następujące wartości.

   Pole	Wartość
   Zakresy portów docelowych	514
   Protokół	Tcp lub UDP w zależności od źródła dziennika systemowego
   Akcja	Zezwalaj
   Nazwisko	AllowSyslogInbound

   Użyj wartości domyślnych w pozostałych polach.

6. Wybierz Dodaj.

Konfigurowanie demona dziennika systemu Linux

Połącz się z maszyną wirtualną z systemem Linux i skonfiguruj demona dziennika systemu Linux. Na przykład uruchom następujące polecenie, dostosowując polecenie zgodnie z potrzebami dla środowiska sieciowego:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Ten skrypt może wprowadzać zmiany zarówno dla rsyslog.d, jak i syslog-ng.

Uwaga

Aby uniknąć scenariuszy pełnego dysku, w których agent nie może działać, zalecamy ustawienie syslog-ng konfiguracji lub rsyslog nie do przechowywania niepotrzebnych dzienników. Scenariusz pełny dysk zakłóca działanie zainstalowanego agenta usługi Azure Monitor. Przeczytaj więcej na temat narzędzia rsyslog lub syslog-ng.

Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics

Po skonfigurowaniu urządzenia z systemem Linux w celu wysyłania dzienników do maszyny wirtualnej sprawdź, czy agent usługi Azure Monitor przekazuje dane dziennika systemowego do obszaru roboczego.

1. W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.

2. Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.

3. W obszarze Ogólne wybierz pozycję Dzienniki.

4. Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.

5. Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

Czyszczenie zasobów

Oceń, czy potrzebujesz zasobów, takich jak utworzona maszyna wirtualna. Zasoby, które opuszczasz, mogą kosztować Pieniądze. Usuń zasoby, których nie potrzebujesz indywidualnie. Możesz również usunąć grupę zasobów, aby usunąć wszystkie utworzone zasoby.

Powiązana zawartość

• Reguły zbierania danych w usłudze Azure Monitor
• Zbieranie zdarzeń dziennika systemowego za pomocą agenta usługi Azure Monitor