Tutorial: Reencaminhar dados do Syslog para uma área de trabalho do Log Analytics com o Microsoft Sentinel com o Agente do Azure Monitor
Neste tutorial, vai configurar uma máquina virtual (VM) do Linux para reencaminhar dados do Syslog para a sua área de trabalho com o Agente do Azure Monitor. Estes passos permitem-lhe recolher e monitorizar dados de dispositivos baseados em Linux, onde não pode instalar um agente como um dispositivo de rede de firewall.
Configure o seu dispositivo baseado em Linux para enviar dados para uma VM do Linux. O Agente do Azure Monitor na VM reencaminha os dados do Syslog para a área de trabalho do Log Analytics. Em seguida, utilize o Microsoft Sentinel ou o Azure Monitor para monitorizar o dispositivo a partir dos dados armazenados na área de trabalho do Log Analytics.
Neste tutorial, ficará a saber como:
- Criar uma regra de recolha de dados.
- Verifique se o Agente do Azure Monitor está em execução.
- Ative a receção de registos na porta 514.
- Verifique se os dados do Syslog são reencaminhados para a área de trabalho do Log Analytics.
Pré-requisitos
Para concluir os passos neste tutorial, tem de ter os seguintes recursos e funções:
Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Uma conta do Azure com as seguintes funções para implementar o agente e criar as regras de recolha de dados.
Função incorporada Âmbito Razão - Contribuidor
- de Máquina VirtualAdministrador de Recursos da Máquina Ligada do Azure- Máquinas
virtuais – Conjuntos de dimensionamento
– Servidores preparados para o Azure ArcPara implementar o agente Qualquer função que inclua a ação Microsoft.Resources/deployments/* - Subscrição
- Grupo de recursos
- Regra de recolha de dados existentePara implementar modelos do Azure Resource Manager Contribuidor de Monitorização - Subscrição
- Grupo de recursos
- Regra de recolha de dados existentePara criar ou editar regras de recolha de dados Uma área de trabalho do Log Analytics.
Um servidor Linux que está a executar um sistema operativo que suporta o Agente do Azure Monitor.
Um dispositivo baseado em Linux que gera dados de registo de eventos como um dispositivo de rede de firewall.
Criar uma regra de recolha de dados
Veja as instruções passo a passo em Criar uma regra de recolha de dados.
Verifique se o Agente do Azure Monitor está em execução
No Microsoft Sentinel ou no Azure Monitor, verifique se o Agente do Azure Monitor está em execução na VM.
No portal do Azure, procure e abra o Microsoft Sentinel ou o Azure Monitor.
Se estiver a utilizar o Microsoft Sentinel, selecione a área de trabalho adequada.
Em Geral, selecione Registos.
Feche a página Consultas para que o separador Nova Consulta seja apresentado.
Execute a seguinte consulta em que substitui o valor do computador pelo nome da VM do Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Ativar a receção de registos na porta 514
Verifique se a VM que está a recolher os dados de registo permite a receção na porta 514 TCP ou UDP, dependendo da origem do Syslog. Em seguida, configure o daemon Syslog do Linux incorporado na VM para escutar mensagens do Syslog a partir dos seus dispositivos. Depois de concluir esses passos, configure o seu dispositivo baseado em Linux para enviar registos para a VM.
As duas secções seguintes abrangem como adicionar uma regra de porta de entrada para uma VM do Azure e configurar o daemon Syslog do Linux incorporado.
Permitir tráfego do Syslog de entrada na VM
Se estiver a reencaminhar dados do Syslog para uma VM do Azure, siga estes passos para permitir a receção na porta 514.
Na portal do Azure, procure e selecione Máquinas Virtuais.
Selecione a VM.
Em Definições, selecione Rede.
Selecione Adicionar regra de porta de entrada.
Introduza os seguintes valores.
Campo Valor Intervalos de portas de destino 514 Protocolo TCP ou UDP consoante a origem do Syslog Ação Permitir Name AllowSyslogInbound Utilize os valores predefinidos para os restantes campos.
Selecione Adicionar.
Configurar o daemon do Syslog do Linux
Nota
Para evitar cenários de Disco Completo em que o agente não pode funcionar, recomendamos que defina a syslog-ng
configuração ou rsyslog
para não armazenar registos desnecessários. Um cenário de Disco Completo interrompe a função do Agente do Azure Monitor instalado.
Leia mais sobre rsyslog ou syslog-ng.
Ligue-se à VM do Linux e execute o seguinte comando para configurar o daemon do Syslog do Linux:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Este script pode fazer alterações para rsyslog.d e syslog-ng.
Verifique se os dados do Syslog são reencaminhados para a área de trabalho do Log Analytics
Depois de configurar o dispositivo baseado em Linux para enviar registos para a VM, verifique se o Agente do Azure Monitor está a reencaminhar dados do Syslog para a área de trabalho.
No portal do Azure, procure e abra o Microsoft Sentinel ou o Azure Monitor.
Se estiver a utilizar o Microsoft Sentinel, selecione a área de trabalho adequada.
Em Geral, selecione Registos.
Feche a página Consultas para que o separador Nova Consulta seja apresentado.
Execute a seguinte consulta em que substitui o valor do computador pelo nome da VM do Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Limpar os recursos
Avalie se precisa de recursos como a VM que criou. Os recursos que deixar em execução podem custar-lhe dinheiro. Elimine os recursos de que não precisa individualmente. Também pode eliminar o grupo de recursos para eliminar todos os recursos que criou.
Passos seguintes
Saiba mais sobre: