Planera för syslog-datainsamling
Varning
Den här artikeln refererar till CentOS, en Linux-distribution som har statusen End Of Life (EOL). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.
Du kan strömma händelser från Linux-baserade, Syslog-stödjande datorer eller -enheter till Microsoft Sentinel med hjälp av Azure Monitor-agenten för Linux och datainsamlingsregler. Du kan göra den här strömningen för alla enheter som gör att du kan installera agenten direkt på värden. Värdens interna Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar dem lokalt till agenten, vilket strömmar dem till din Log Analytics-arbetsyta.
Log Analytics stöder insamling av meddelanden som skickas av daemonerna rsyslog eller syslog-ng , där rsyslog är standard. Standard daemon för syslog på version 5 av Red Hat Enterprise Linux (RHEL), CentOS och Oracle Linux-versionen (sysklog) stöds inte för Syslog-händelsesamling. Daemon för rsyslog ska installeras och konfigureras för att ersätta sysklog för dessa versioner av Linux.
Hur det fungerar
Syslog är ett protokoll för händelseloggning som är gemensamt för Linux. När agenten är installerad på den virtuella datorn eller installationen konfigurerar installationsrutinen den lokala Syslog-daemonen för att vidarebefordra meddelanden till agenten på TCP-port 25224. Agenten skickar sedan meddelandet till din Log Analytics-arbetsyta via HTTPS, där det parsas i en händelseloggpost i tabellen Syslog i Microsoft Sentinel-loggar>.