Självstudie: Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent

Artikel
06/17/2023

I den här självstudien konfigurerar du en virtuell Linux-dator (VM) för att vidarebefordra Syslog-data till din arbetsyta med hjälp av Azure Monitor Agent. Med de här stegen kan du samla in och övervaka data från Linux-baserade enheter där du inte kan installera en agent som en brandväggsnätverksenhet.

Konfigurera din Linux-baserade enhet för att skicka data till en virtuell Linux-dator. Azure Monitor-agenten på den virtuella datorn vidarebefordrar Syslog-data till Log Analytics-arbetsytan. Använd sedan Microsoft Sentinel eller Azure Monitor för att övervaka enheten från de data som lagras på Log Analytics-arbetsytan.

I den här guiden får du lära dig att:

Skapa en datainsamlingsregel.
Kontrollera att Azure Monitor-agenten körs.
Aktivera loggmottagning på port 514.
Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan.

Förutsättningar

För att slutföra stegen i den här självstudien måste du ha följande resurser och roller:

Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

Ett Azure-konto med följande roller för att distribuera agenten och skapa datainsamlingsregler.

Inbyggd roll	Omfång	Anledning
- Virtuell datordeltagare - Azure Connected Machine Resource Administrator	– Virtuella datorer – Skalningsuppsättningar – Azure Arc-aktiverade servrar	Distribuera agenten
Alla roller som innehåller åtgärden Microsoft.Resources/deployments/*	– Prenumeration – Resursgrupp – Befintlig datainsamlingsregel	Distribuera Azure Resource Manager-mallar
Övervakningsdeltagare	– Prenumeration – Resursgrupp – Befintlig datainsamlingsregel	Så här skapar eller redigerar du regler för datainsamling

En Log Analytics-arbetsyta.
En Linux-server som kör ett operativsystem som stöder Azure Monitor Agent.
- Linux-operativsystem som stöds för Azure Monitor Agent.
- Skapa en virtuell Linux-dator i Azure Portal eller lägg till en lokal Linux-server i Azure Arc.
En Linux-baserad enhet som genererar händelseloggdata som en brandväggsnätverksenhet.

Skapa en regel för datainsamling

Se de stegvisa anvisningarna i Skapa en datainsamlingsregel.

Kontrollera att Azure Monitor-agenten körs

Kontrollera att Azure Monitor-agenten körs på den virtuella datorn i Microsoft Sentinel eller Azure Monitor.

I Azure Portal söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
```
Heartbeat
| where Computer == "vm-linux"
| take 10
```

Aktivera loggmottagning på port 514

Kontrollera att den virtuella dator som samlar in loggdata tillåter mottagning på port 514 TCP eller UDP beroende på Syslog-källan. Konfigurera sedan den inbyggda Linux Syslog-daemonen på den virtuella datorn för att lyssna efter Syslog-meddelanden från dina enheter. När du har slutfört dessa steg konfigurerar du din Linux-baserade enhet för att skicka loggar till den virtuella datorn.

Följande två avsnitt beskriver hur du lägger till en regel för inkommande portar för en virtuell Azure-dator och konfigurerar den inbyggda Linux Syslog-daemonen.

Tillåt inkommande Syslog-trafik på den virtuella datorn

Om du vidarebefordrar Syslog-data till en virtuell Azure-dator följer du dessa steg för att tillåta mottagning på port 514.

I Azure Portal söker du efter och väljer Virtual Machines.
Välj VM.
Under Inställningar väljer du Nätverk.
Välj Lägg till regel för inkommande port.
Ange följande värden.

Fält Värde

Målportintervall 514

Protokoll TCP eller UDP beroende på Syslog-källa

Åtgärd Tillåt

Name AllowSyslogInbound

Använd standardvärdena i övriga fält.
Välj Lägg till.

Fält	Värde
Målportintervall	514
Protokoll	TCP eller UDP beroende på Syslog-källa
Åtgärd	Tillåt
Name	AllowSyslogInbound

Konfigurera Linux Syslog-daemon

Anteckning

För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog konfigurationen syslog-ng för att inte lagra onödiga loggar. Ett scenario med fullständig disk stör funktionen för den installerade Azure Monitor-agenten. Läs mer om rsyslog eller syslog-ng.

Anslut till din virtuella Linux-dator och kör följande kommando för att konfigurera Linux Syslog-daemon:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Det här skriptet kan göra ändringar för både rsyslog.d och syslog-ng.

Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan

När du har konfigurerat din Linux-baserade enhet för att skicka loggar till den virtuella datorn kontrollerar du att Azure Monitor-agenten vidarebefordrar Syslog-data till din arbetsyta.

I Azure Portal söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
```
Syslog
| where Computer == "vm-linux"
| summarize by HostName
```

Rensa resurser

Utvärdera om du behöver resurser som den virtuella dator som du skapade. Resurser som du lämnar igång kan kosta dig pengar. Ta bort de resurser som du inte behöver individuellt. Du kan också ta bort resursgruppen för att ta bort alla resurser som du skapade.

Nästa steg

Läs mer om:

Datainsamlingsregler i Azure Monitor Samla in Syslog-händelser med Azure Monitor Agent