Руководство. Пересылка данных системного журнала в рабочую область Log Analytics с помощью Microsoft Sentinel с помощью агента Azure Monitor
В этом руководстве описана настройка виртуальной машины Linux для пересылки данных системного журнала в рабочую область с помощью агента Azure Monitor. Эти действия позволяют собирать и отслеживать данные с устройств под управлением Linux, где невозможно установить агент, например сетевое устройство брандмауэра.
Настройте устройство под управлением Linux для отправки данных на виртуальную машину Linux. Агент Azure Monitor на виртуальной машине перенаправит данные системного журнала в рабочую область Log Analytics. Затем используйте Microsoft Sentinel или Azure Monitor для мониторинга устройства из данных, хранящихся в рабочей области Log Analytics.
В этом руководстве вы узнаете, как:
- Создайте правило сбора данных.
- Убедитесь, что агент Azure Monitor запущен.
- Включите прием журналов через порт 514.
- Убедитесь, что данные системного журнала пересылаются в рабочую область Log Analytics.
Предварительные требования
Для выполнения действий, описанных в этом руководстве, у вас должны быть следующие ресурсы и роли:
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
Учетная запись Azure со следующими ролями для развертывания агента и создания правил сбора данных.
Встроенные роли Область Причина - Участник виртуальной машины
- Администратор ресурс подключенной машины Azure— Виртуальные машины
— масштабируемые наборы
— серверы с поддержкой Azure ArcРазвертывание агента Любая роль, которая включает в себя действие Microsoft.Resources/deployments/* — Подписка
— группа
ресурсов — существующее правило сбора данныхРазвертывание шаблонов Azure Resource Manager Monitoring Contributor — Подписка
— группа
ресурсов — существующее правило сбора данныхСоздание или изменение правил сбора данных Рабочая область Log Analytics.
Сервер Linux под управлением операционной системы, поддерживающей агент Azure Monitor.
Устройство под управлением Linux, которое создает данные журнала событий, например сетевое устройство брандмауэра.
Создание правила сбора данных
См. пошаговые инструкции в статье Создание правила сбора данных.
Убедитесь, что агент Azure Monitor запущен
В Microsoft Sentinel или Azure Monitor убедитесь, что агент Azure Monitor запущен на виртуальной машине.
На портале Microsoft Azure найдите и откройте Microsoft Sentinel или Azure Monitor.
Если вы используете Microsoft Sentinel, выберите соответствующую рабочую область.
В разделе Общие щелкните Журналы.
Закройте страницу Запросы , чтобы появилась вкладка Новый запрос .
Выполните следующий запрос, в котором замените значение компьютера именем виртуальной машины Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Включение приема журналов через порт 514
Убедитесь, что виртуальная машина, которая собирает данные журнала, разрешает прием через порт 514 TCP или UDP в зависимости от источника системного журнала. Затем настройте встроенную управляемую программу Системного журнала Linux на виртуальной машине для прослушивания сообщений Системного журнала с устройств. После выполнения этих действий настройте устройство под управлением Linux для отправки журналов на виртуальную машину.
В следующих двух разделах описывается добавление правила входящего порта для виртуальной машины Azure и настройка встроенной управляющей программы Системного журнала Linux.
Разрешить входящий трафик системного журнала на виртуальной машине
Если вы пересылаете данные системного журнала на виртуальную машину Azure, выполните следующие действия, чтобы разрешить прием через порт 514.
На портале Azure найдите и выберите Виртуальные машины.
Выберите виртуальную машину.
В разделе Параметры выберите Сеть.
Выберите Добавить правило входящего порта.
Введите указанные ниже значения.
Поле Значение Диапазоны портов назначения 514 Протокол TCP или UDP в зависимости от источника системного журнала Действие Allow Название AllowSyslogInbound Для остальных полей используйте значения по умолчанию.
Выберите Добавить.
Настройка управляющей программы Системного журнала Linux
Примечание
Чтобы избежать сценариев полного диска , в которых агент не может работать, рекомендуется настроить конфигурацию syslog-ng или rsyslog не для хранения ненужных журналов. Сценарий с полным диском нарушает работу установленного агента Azure Monitor.
Дополнительные сведения о rsyslog или syslog-ng.
Подключитесь к виртуальной машине Linux и выполните следующую команду, чтобы настроить управляемую программу Системного журнала Linux:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Этот скрипт может вносить изменения в файлы rsyslog.d и syslog-ng.
Проверка перенаправления данных системного журнала в рабочую область Log Analytics
После настройки устройства под управлением Linux для отправки журналов на виртуальную машину убедитесь, что агент Azure Monitor перенаправлял данные системного журнала в рабочую область.
На портале Microsoft Azure найдите и откройте Microsoft Sentinel или Azure Monitor.
Если вы используете Microsoft Sentinel, выберите соответствующую рабочую область.
В разделе Общие щелкните Журналы.
Закройте страницу Запросы , чтобы появилась вкладка Новый запрос .
Выполните следующий запрос, в котором замените значение компьютера именем виртуальной машины Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Очистка ресурсов
Оцените, нужны ли вам такие ресурсы, как созданная виртуальная машина. Работающие ресурсы могут приводить к дополнительным затратам. Удалите ресурсы, которые вам не нужны по отдельности. Вы также можете удалить группу ресурсов, чтобы удалить все созданные ресурсы.
Дальнейшие действия
См. также: