Öğretici: Azure İzleyici Aracısını kullanarak Microsoft Sentinel ile Syslog verilerini Log Analytics çalışma alanına iletme

Makale
06/17/2023

Bu öğreticide, Azure İzleyici Aracısını kullanarak Syslog verilerini çalışma alanınıza iletmek için bir Linux sanal makinesi (VM) yapılandıracaksınız. Bu adımlar, güvenlik duvarı ağ cihazı gibi bir aracı yükleyememenize neden olan Linux tabanlı cihazlardan veri toplamanızı ve izlemenizi sağlar.

Linux tabanlı cihazınızı Bir Linux VM'sine veri gönderecek şekilde yapılandırın. VM'de Azure İzleyici Aracısı, Syslog verilerini Log Analytics çalışma alanına iletir. Ardından, Cihazı Log Analytics çalışma alanında depolanan verilerden izlemek için Microsoft Sentinel veya Azure İzleyici'yi kullanın.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

Bir veri toplama kuralı oluşturun.
Azure İzleyici Aracısı'nın çalıştığını doğrulayın.
514 numaralı bağlantı noktasında günlük alımını etkinleştirin.
Syslog verilerinin Log Analytics çalışma alanınıza iletildiğini doğrulayın.

Önkoşullar

Bu öğreticideki adımları tamamlamak için aşağıdaki kaynaklara ve rollere sahip olmanız gerekir:

Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturun.

Aracıyı dağıtmak ve veri toplama kurallarını oluşturmak için aşağıdaki rollere sahip bir Azure hesabı.

Yerleşik rol	Kapsam	Nedeni
- Sanal Makine Katkıda Bulunanı - Azure Bağlı Makine Kaynak Yöneticisi	- Sanal makineler - Ölçek kümeleri - Azure Arc özellikli sunucular	Aracıyı dağıtmak için
Microsoft.Resources/deployments/* eylemini içeren herhangi bir rol	- Abonelik - Kaynak grubu - Mevcut veri toplama kuralı	Azure Resource Manager şablonlarını dağıtmak için
İzleme Katkıda Bulunanı	- Abonelik - Kaynak grubu - Mevcut veri toplama kuralı	Veri toplama kuralları oluşturmak veya düzenlemek için

Log Analytics çalışma alanı.
Azure İzleyici Aracısı'nın desteklendiği bir işletim sistemi çalıştıran bir Linux sunucusu.
- Azure İzleyici Aracısı için desteklenen Linux işletim sistemleri.
- Azure portal bir Linux VM oluşturun veya Azure Arc'a bir şirket içi Linux sunucusu ekleyin.
Güvenlik duvarı ağ cihazı gibi olay günlüğü verileri oluşturan Linux tabanlı bir cihaz.

Veri toplama kuralı oluşturma

Veri toplama kuralı oluşturma başlığındaki adım adım yönergelere bakın.

Azure İzleyici Aracısı'nın çalıştığını doğrulama

Microsoft Sentinel veya Azure İzleyici'de Azure İzleyici Aracısı'nın VM'nizde çalıştığını doğrulayın.

Azure portal Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
```
Heartbeat
| where Computer == "vm-linux"
| take 10
```

514 numaralı bağlantı noktasında günlük alımını etkinleştirme

Günlük verilerini toplayan VM'nin Syslog kaynağına bağlı olarak 514 NUMARALı TCP veya UDP bağlantı noktasında alıma izin verdiğinden emin olun. Ardından vm'deki yerleşik Linux Syslog daemon'ını cihazlarınızdan gelen Syslog iletilerini dinleyecek şekilde yapılandırın. Bu adımları tamamladıktan sonra, Linux tabanlı cihazınızı günlükleri VM'nize gönderecek şekilde yapılandırın.

Aşağıdaki iki bölümde Azure VM için gelen bağlantı noktası kuralı ekleme ve yerleşik Linux Syslog daemon'ını yapılandırma işlemleri ele alınıyor.

VM'de gelen Syslog trafiğine izin ver

Syslog verilerini bir Azure VM'ye iletiyorsanız, 514 numaralı bağlantı noktasında alıma izin vermek için bu adımları izleyin.

Azure portal Sanal Makineler için arama yapın ve seçin.
VM’yi seçin.
Ayarlar'ın altında Ağ'ı seçin.
Gelen bağlantı noktası kuralı ekle’yi seçin.
Aşağıdaki değerleri girin.

Alan Değer

Hedef bağlantı noktası aralıkları 514

Protokol Syslog kaynağına bağlı olarak TCP veya UDP

Eylem İzin Ver

Name AllowSyslogInbound

Kalan alanlarda varsayılan değerleri kullanın.
Add (Ekle) seçeneğini belirleyin.

Alan	Değer
Hedef bağlantı noktası aralıkları	514
Protokol	Syslog kaynağına bağlı olarak TCP veya UDP
Eylem	İzin Ver
Name	AllowSyslogInbound

Linux Syslog daemon'ını yapılandırma

Not

Aracının çalışmadığı Tam Disk senaryolarından kaçınmak için, veya rsyslog yapılandırmasını gereksiz günlükleri depolamak üzere ayarlamanızı syslog-ng öneririz. Tam Disk senaryosu, yüklü Azure İzleyici Aracısı'nın işlevini kesintiye uğratır. rsyslog veya syslog-ng hakkında daha fazla bilgi edinin.

Linux VM'nize bağlanın ve Linux Syslog daemon'ını yapılandırmak için aşağıdaki komutu çalıştırın:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Bu betik hem rsyslog.d hem de syslog-ng için değişiklik yapabilir.

Syslog verilerinin Log Analytics çalışma alanınıza iletildiğinden emin olun

Linux tabanlı cihazınızı vm'nize günlük gönderecek şekilde yapılandırdıktan sonra Azure İzleyici Aracısı'nın Syslog verilerini çalışma alanınıza ilettiğini doğrulayın.

Azure portal Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
```
Syslog
| where Computer == "vm-linux"
| summarize by HostName
```

Kaynakları temizleme

Oluşturduğunuz VM gibi kaynaklara ihtiyacınız olup olmadığını değerlendirin. Çalışır durumda bıraktığınız kaynaklar size pahalıya mal olabilir. İhtiyacınız olmayan kaynakları tek tek silin. Oluşturduğunuz tüm kaynakları silmek için kaynak grubunu da silebilirsiniz.

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin:

Azure İzleyici'de veri toplama kuralları Azure İzleyici Aracısı ile Syslog olaylarını toplama