Självstudie: Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent
I den här självstudien konfigurerar du en virtuell Linux-dator (VM) för att vidarebefordra Syslog-data till din arbetsyta med hjälp av Azure Monitor Agent. Med de här stegen kan du samla in och övervaka data från Linux-baserade enheter där du inte kan installera en agent som en brandväggsnätverksenhet.
Kommentar
Container Insights stöder nu den automatiska samlingen av Syslog-händelser från Linux-noder i dina AKS-kluster. Mer information finns i Syslog-samlingen med Container Insights.
Konfigurera din Linux-baserade enhet för att skicka data till en virtuell Linux-dator. Azure Monitor-agenten på den virtuella datorn vidarebefordrar Syslog-data till Log Analytics-arbetsytan. Använd sedan Microsoft Sentinel eller Azure Monitor för att övervaka enheten från de data som lagras på Log Analytics-arbetsytan.
I den här självstudien lär du dig att:
- Skapa en datainsamlingsregel.
- Kontrollera att Azure Monitor-agenten körs.
- Aktivera loggmottagning på port 514.
- Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan.
Förutsättningar
För att slutföra stegen i den här självstudien måste du ha följande resurser och roller:
Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
Ett Azure-konto med följande roller för att distribuera agenten och skapa regler för datainsamling.
Inbyggd roll Omfattning Anledning - Resursadministratör för virtuell datordeltagare
- i Azure Connected Machine– Virtuella datorer – Skalningsuppsättningar
– Azure Arc-aktiverade servrarDistribuera agenten Alla roller som innehåller åtgärden Microsoft.Resources/deployments/* – Prenumeration
– Resursgrupp
– Befintlig datainsamlingsregelSå här distribuerar du Azure Resource Manager-mallar Övervakningsdeltagare – Prenumeration
– Resursgrupp
– Befintlig datainsamlingsregelSå här skapar eller redigerar du regler för datainsamling En Log Analytics-arbetsyta.
En Linux-server som kör ett operativsystem som stöder Azure Monitor Agent.
En Linux-baserad enhet som genererar händelseloggdata som en brandväggsnätverksenhet.
Konfigurera Azure Monitor-agenten för att samla in Syslog-data
Se de stegvisa anvisningarna i Samla in Syslog-händelser med Azure Monitor Agent.
Kontrollera att Azure Monitor-agenten körs
I Microsoft Sentinel eller Azure Monitor kontrollerar du att Azure Monitor-agenten körs på den virtuella datorn.
I Azure-portalen söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
Heartbeat | where Computer == "vm-linux" | take 10
Aktivera loggmottagning på port 514
Kontrollera att den virtuella dator som samlar in loggdata tillåter mottagning på port 514 TCP eller UDP beroende på Syslog-källan. Konfigurera sedan den inbyggda Linux Syslog-daemonen på den virtuella datorn för att lyssna efter Syslog-meddelanden från dina enheter. När du har slutfört de här stegen konfigurerar du din Linux-baserade enhet för att skicka loggar till den virtuella datorn.
Kommentar
Om brandväggen körs måste en regel skapas för att fjärrsystem ska kunna nå daemonens syslog-lyssnare: systemctl status firewalld.service
- Lägg till för tcp 514 (din zon/port/protokoll kan variera beroende på ditt scenario)
firewall-cmd --zone=public --add-port=514/tcp --permanent - Lägg till för udp 514 (din zon/port/protokoll kan variera beroende på ditt scenario)
firewall-cmd --zone=public --add-port=514/udp --permanent - Starta om brandväggstjänsten för att säkerställa att nya regler börjar gälla
systemctl restart firewalld.service
Följande två avsnitt beskriver hur du lägger till en regel för inkommande portar för en virtuell Azure-dator och konfigurerar den inbyggda Linux Syslog-daemonen.
Tillåt inkommande Syslog-trafik på den virtuella datorn
Om du vidarebefordrar Syslog-data till en virtuell Azure-dator följer du dessa steg för att tillåta mottagning på port 514.
I Azure-portalen söker du efter och väljer Virtuella datorer.
Välj VM.
Under Inställningar väljer du Nätverk.
Välj Lägg till regel för inkommande port.
Ange följande värden.
Fält Värde Målportintervall 514 Protokoll TCP eller UDP beroende på Syslog-källa Åtgärd Tillåt Name AllowSyslogInbound Använd standardvärdena i övriga fält.
Markera Lägga till.
Konfigurera Linux Syslog-daemon
Anslut till din virtuella Linux-dator och kör följande kommando för att konfigurera Linux Syslog-daemon:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Det här skriptet kan göra ändringar för både rsyslog.d och syslog-ng.
Kommentar
För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog konfigurationen syslog-ng för att inte lagra onödiga loggar. Ett scenario med fullständig disk stör funktionen för den installerade Azure Monitor-agenten.
Läs mer om rsyslog eller syslog-ng.
Kontrollera att Syslog-data vidarebefordras till Log Analytics-arbetsytan
När du har konfigurerat din Linux-baserade enhet för att skicka loggar till den virtuella datorn kontrollerar du att Azure Monitor Agent vidarebefordrar Syslog-data till din arbetsyta.
I Azure-portalen söker du efter och öppnar Microsoft Sentinel eller Azure Monitor.
Om du använder Microsoft Sentinel väljer du lämplig arbetsyta.
Under Allmäntväljer du Loggar.
Stäng sidan Frågor så att fliken Ny fråga visas.
Kör följande fråga där du ersätter datorvärdet med namnet på den virtuella Linux-datorn.
Syslog | where Computer == "vm-linux" | summarize by HostName
Rensa resurser
Utvärdera om du behöver resurser som den virtuella dator som du skapade. Resurser som du lämnar igång kan kosta pengar. Ta bort de resurser som du inte behöver individuellt. Du kan också ta bort resursgruppen för att ta bort alla resurser som du har skapat.