Планирование сбора данных системного журнала
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Обратите внимание на использование и план соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Вы можете передавать события из компьютеров или устройств, поддерживающих системный журнал, в Microsoft Sentinel с помощью агента Azure Monitor для Linux и правил сбора данных. Эту потоковую передачу можно выполнить для любого устройства, которое позволяет установить агент непосредственно на узле. Управляющей программе системного журнала узла собираются локальные события указанных типов и перенаправлять их локально в агент, который передает их в рабочую область Log Analytics.
Log Analytics поддерживает сбор сообщений, отправленных управляющими программами rsyslog или syslog-ng, где значение по умолчанию — rsyslog. Управляющая программа syslog по умолчанию для версии 5 Red Hat Enterprise Linux (RHEL), CentOS и Oracle Linux Version (sysklog) не поддерживается для сбора событий syslog. Управляющая программа rsyslog должна быть установлена и настроена, чтобы заменить sysklog для этих версий Linux.
Принцип работы
Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Если на виртуальной машине или устройстве установлен агент, программа установки настраивает локальную управляющую программу системного журнала на пересылку сообщений агенту через TCP-порт 25224. Затем агент отправляет сообщение в рабочую область Log Analytics по протоколу HTTPS, где он преобразуется в запись журнала событий в таблице Syslog в журнале Microsoft Sentinel > Logs.