Självstudie: Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent
I den här självstudien konfigurerar du en virtuell Linux-dator (VM) för att vidarebefordra Syslog-data till din arbetsyta med hjälp av Azure Monitor Agent. Med de här stegen kan du samla in och övervaka data från Linux-baserade enheter där du inte kan installera en agent som en brandväggsnätverksenhet.
Konfigurera din Linux-baserade enhet för att skicka data till en virtuell Linux-dator. Azure Monitor-agenten på den virtuella datorn vidarebefordrar Syslog-data till Log Analytics-arbetsytan. Använd sedan Microsoft Sentinel eller Azure Monitor för att övervaka enheten från de data som lagras på Log Analytics-arbetsytan.
I den här guiden får du lära dig att:
- Skapa en datainsamlingsregel.
- Kontrollera att Azure Monitor-agenten körs.
- Aktivera loggmottagning på port 514.
- Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan.
Förutsättningar
För att slutföra stegen i den här självstudien måste du ha följande resurser och roller:
Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
Ett Azure-konto med följande roller för att distribuera agenten och skapa datainsamlingsregler.
Inbyggd roll Omfång Anledning - Virtuell datordeltagare
- Azure Connected Machine Resource Administrator– Virtuella datorer – Skalningsuppsättningar
– Azure Arc-aktiverade servrarDistribuera agenten Alla roller som innehåller åtgärden Microsoft.Resources/deployments/* – Prenumeration
– Resursgrupp
– Befintlig datainsamlingsregelDistribuera Azure Resource Manager-mallar Övervakningsdeltagare – Prenumeration
– Resursgrupp
– Befintlig datainsamlingsregelSå här skapar eller redigerar du regler för datainsamling En Log Analytics-arbetsyta.
En Linux-server som kör ett operativsystem som stöder Azure Monitor Agent.
En Linux-baserad enhet som genererar händelseloggdata som en brandväggsnätverksenhet.
Skapa en regel för datainsamling
Se de stegvisa anvisningarna i Skapa en datainsamlingsregel.
Kontrollera att Azure Monitor-agenten körs
Kontrollera att Azure Monitor-agenten körs på den virtuella datorn i Microsoft Sentinel eller Azure Monitor.
I Azure Portal söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
Heartbeat | where Computer == "vm-linux" | take 10
Aktivera loggmottagning på port 514
Kontrollera att den virtuella dator som samlar in loggdata tillåter mottagning på port 514 TCP eller UDP beroende på Syslog-källan. Konfigurera sedan den inbyggda Linux Syslog-daemonen på den virtuella datorn för att lyssna efter Syslog-meddelanden från dina enheter. När du har slutfört dessa steg konfigurerar du din Linux-baserade enhet för att skicka loggar till den virtuella datorn.
Följande två avsnitt beskriver hur du lägger till en regel för inkommande portar för en virtuell Azure-dator och konfigurerar den inbyggda Linux Syslog-daemonen.
Tillåt inkommande Syslog-trafik på den virtuella datorn
Om du vidarebefordrar Syslog-data till en virtuell Azure-dator följer du dessa steg för att tillåta mottagning på port 514.
I Azure Portal söker du efter och väljer Virtual Machines.
Välj VM.
Under Inställningar väljer du Nätverk.
Välj Lägg till regel för inkommande port.
Ange följande värden.
Fält Värde Målportintervall 514 Protokoll TCP eller UDP beroende på Syslog-källa Åtgärd Tillåt Name AllowSyslogInbound Använd standardvärdena i övriga fält.
Välj Lägg till.
Konfigurera Linux Syslog-daemon
Anteckning
För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog
konfigurationen syslog-ng
för att inte lagra onödiga loggar. Ett scenario med fullständig disk stör funktionen för den installerade Azure Monitor-agenten.
Läs mer om rsyslog eller syslog-ng.
Anslut till din virtuella Linux-dator och kör följande kommando för att konfigurera Linux Syslog-daemon:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Det här skriptet kan göra ändringar för både rsyslog.d och syslog-ng.
Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan
När du har konfigurerat din Linux-baserade enhet för att skicka loggar till den virtuella datorn kontrollerar du att Azure Monitor-agenten vidarebefordrar Syslog-data till din arbetsyta.
I Azure Portal söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
Syslog | where Computer == "vm-linux" | summarize by HostName
Rensa resurser
Utvärdera om du behöver resurser som den virtuella dator som du skapade. Resurser som du lämnar igång kan kosta dig pengar. Ta bort de resurser som du inte behöver individuellt. Du kan också ta bort resursgruppen för att ta bort alla resurser som du skapade.
Nästa steg
Läs mer om: