Öğretici: Azure İzleyici Aracısını kullanarak Microsoft Sentinel ile Syslog verilerini Log Analytics çalışma alanına iletme
Bu öğreticide, Azure İzleyici Aracısını kullanarak Syslog verilerini çalışma alanınıza iletmek için bir Linux sanal makinesi (VM) yapılandıracaksınız. Bu adımlar, güvenlik duvarı ağ cihazı gibi bir aracı yükleyememenize neden olan Linux tabanlı cihazlardan veri toplamanızı ve izlemenizi sağlar.
Linux tabanlı cihazınızı Bir Linux VM'sine veri gönderecek şekilde yapılandırın. VM'de Azure İzleyici Aracısı, Syslog verilerini Log Analytics çalışma alanına iletir. Ardından, Cihazı Log Analytics çalışma alanında depolanan verilerden izlemek için Microsoft Sentinel veya Azure İzleyici'yi kullanın.
Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:
- Bir veri toplama kuralı oluşturun.
- Azure İzleyici Aracısı'nın çalıştığını doğrulayın.
- 514 numaralı bağlantı noktasında günlük alımını etkinleştirin.
- Syslog verilerinin Log Analytics çalışma alanınıza iletildiğini doğrulayın.
Önkoşullar
Bu öğreticideki adımları tamamlamak için aşağıdaki kaynaklara ve rollere sahip olmanız gerekir:
Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturun.
Aracıyı dağıtmak ve veri toplama kurallarını oluşturmak için aşağıdaki rollere sahip bir Azure hesabı.
Yerleşik rol Kapsam Nedeni - Sanal Makine Katkıda Bulunanı
- Azure Bağlı Makine Kaynak Yöneticisi- Sanal makineler
- Ölçek kümeleri
- Azure Arc özellikli sunucularAracıyı dağıtmak için Microsoft.Resources/deployments/* eylemini içeren herhangi bir rol - Abonelik
- Kaynak grubu
- Mevcut veri toplama kuralıAzure Resource Manager şablonlarını dağıtmak için İzleme Katkıda Bulunanı - Abonelik
- Kaynak grubu
- Mevcut veri toplama kuralıVeri toplama kuralları oluşturmak veya düzenlemek için Log Analytics çalışma alanı.
Azure İzleyici Aracısı'nın desteklendiği bir işletim sistemi çalıştıran bir Linux sunucusu.
Güvenlik duvarı ağ cihazı gibi olay günlüğü verileri oluşturan Linux tabanlı bir cihaz.
Veri toplama kuralı oluşturma
Veri toplama kuralı oluşturma başlığındaki adım adım yönergelere bakın.
Azure İzleyici Aracısı'nın çalıştığını doğrulama
Microsoft Sentinel veya Azure İzleyici'de Azure İzleyici Aracısı'nın VM'nizde çalıştığını doğrulayın.
Azure portal Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
Heartbeat | where Computer == "vm-linux" | take 10
514 numaralı bağlantı noktasında günlük alımını etkinleştirme
Günlük verilerini toplayan VM'nin Syslog kaynağına bağlı olarak 514 NUMARALı TCP veya UDP bağlantı noktasında alıma izin verdiğinden emin olun. Ardından vm'deki yerleşik Linux Syslog daemon'ını cihazlarınızdan gelen Syslog iletilerini dinleyecek şekilde yapılandırın. Bu adımları tamamladıktan sonra, Linux tabanlı cihazınızı günlükleri VM'nize gönderecek şekilde yapılandırın.
Aşağıdaki iki bölümde Azure VM için gelen bağlantı noktası kuralı ekleme ve yerleşik Linux Syslog daemon'ını yapılandırma işlemleri ele alınıyor.
VM'de gelen Syslog trafiğine izin ver
Syslog verilerini bir Azure VM'ye iletiyorsanız, 514 numaralı bağlantı noktasında alıma izin vermek için bu adımları izleyin.
Azure portal Sanal Makineler için arama yapın ve seçin.
VM’yi seçin.
Ayarlar'ın altında Ağ'ı seçin.
Gelen bağlantı noktası kuralı ekle’yi seçin.
Aşağıdaki değerleri girin.
Alan Değer Hedef bağlantı noktası aralıkları 514 Protokol Syslog kaynağına bağlı olarak TCP veya UDP Eylem İzin Ver Name AllowSyslogInbound Kalan alanlarda varsayılan değerleri kullanın.
Add (Ekle) seçeneğini belirleyin.
Linux Syslog daemon'ını yapılandırma
Not
Aracının çalışmadığı Tam Disk senaryolarından kaçınmak için, veya rsyslog
yapılandırmasını gereksiz günlükleri depolamak üzere ayarlamanızı syslog-ng
öneririz. Tam Disk senaryosu, yüklü Azure İzleyici Aracısı'nın işlevini kesintiye uğratır.
rsyslog veya syslog-ng hakkında daha fazla bilgi edinin.
Linux VM'nize bağlanın ve Linux Syslog daemon'ını yapılandırmak için aşağıdaki komutu çalıştırın:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Bu betik hem rsyslog.d hem de syslog-ng için değişiklik yapabilir.
Syslog verilerinin Log Analytics çalışma alanınıza iletildiğinden emin olun
Linux tabanlı cihazınızı vm'nize günlük gönderecek şekilde yapılandırdıktan sonra Azure İzleyici Aracısı'nın Syslog verilerini çalışma alanınıza ilettiğini doğrulayın.
Azure portal Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
Syslog | where Computer == "vm-linux" | summarize by HostName
Kaynakları temizleme
Oluşturduğunuz VM gibi kaynaklara ihtiyacınız olup olmadığını değerlendirin. Çalışır durumda bıraktığınız kaynaklar size pahalıya mal olabilir. İhtiyacınız olmayan kaynakları tek tek silin. Oluşturduğunuz tüm kaynakları silmek için kaynak grubunu da silebilirsiniz.
Sonraki adımlar
Aşağıdakiler hakkında daha fazla bilgi edinin: