Compartir vía


Tutorial: Reenvío de datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante el agente de Azure Monitor

En este tutorial configura una máquina virtual Linux para reenviar datos de Syslog al área de trabajo mediante el agente de Azure Monitor. Estos pasos permiten recopilar y supervisar datos de los dispositivos basados en Linux en los que no se puede instalar un agente, como un dispositivo de red de firewall.

Nota:

Container Insights ahora admite la recopilación automática de eventos de Syslog de nodos de Linux en los clústeres de AKS. Para más información, consulte Recopilación de Syslog con Container Insights.

Configure el dispositivo basado en Linux para enviar datos a una máquina virtual Linux. El agente de Azure Monitor de la máquina virtual reenvía los datos de Syslog al área de trabajo de Log Analytics. A continuación, use Microsoft Sentinel o Azure Monitor para supervisar el dispositivo desde los datos almacenados en el área de trabajo de Log Analytics.

En este tutorial, aprenderá a:

  • Cree una regla de recopilación de datos.
  • Compruebe que el agente de Azure Monitor se está ejecutando.
  • Habilitación de la recepción de registros en el puerto 514.
  • Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics.

Requisitos previos

Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles:

Configuración del agente de Azure Monitor para recopilar datos de Syslog

Consulte las instrucciones paso a paso en Recopilación de eventos de Syslog con el agente de Azure Monitor.

Comprobación de que el agente de Azure Monitor se está ejecutando

Desde Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se ejecuta en la máquina virtual.

  1. En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.

  2. Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.

  3. En General, seleccione Registros.

  4. Cierre la página Consultas para que aparezca la pestaña Nueva consulta.

  5. Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Habilitación de la recepción de registros en el puerto 514

Compruebe que la máquina virtual que recopila los datos de registro permite la recepción en el puerto 514 TCP o UDP, según el origen de Syslog. Después, configure el demonio de Syslog Linux integrado en la máquina virtual para escuchar los mensajes de Syslog desde los dispositivos. Después de completar esos pasos, configure el dispositivo basado en Linux para enviar los registros a la máquina virtual.

Nota:

Si el firewall se está ejecutando, es necesario crear una regla para permitir que los sistemas remotos accedan al agente de escucha de syslog del demonio: systemctl status firewalld.service

  1. Adición para tcp 514 (la zona, puerto o protocolo puede diferir en función del escenario) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Adición para udp 514 (la zona, puerto o protocolo puede diferir en función del escenario) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Reinicio del servicio de firewall para asegurarse de que las nuevas reglas surtan efecto systemctl restart firewalld.service

En las dos secciones siguientes se explica cómo agregar una regla de puerto de entrada para una máquina virtual de Azure y configurar el demonio de Syslog Linux integrado.

Tráfico de Syslog entrante permitido en la máquina virtual

Si va a reenviar datos de Syslogs a una máquina virtual de Azure, siga estos pasos para permitir la recepción en el puerto 514.

  1. En Azure Portal, busque y seleccione Máquinas virtuales.

  2. Seleccione la máquina virtual.

  3. En Configuración, seleccione Redes.

  4. Seleccione Agregar regla de puerto de entrada.

  5. Escriba los siguientes valores:

    Campo Value
    Intervalos de puertos de destino 514
    Protocolo TCP o UDP en función del origen de Syslog
    Acción Allow
    NOMBRE AllowSyslogInbound

    Use los valores predeterminados en el resto de los campos.

  6. Seleccione Agregar.

Configuración del demonio de Syslog de Linux

Conéctese a la máquina virtual Linux y configure el demonio de Syslog de Linux. Por ejemplo, ejecute el siguiente comando, adaptando el comando según sea necesario para el entorno de red:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Este script realiza cambios para rsyslog.d y syslog-ng.

Nota:

Para evitar escenarios de disco completo en los que el agente no puede funcionar, debe establecer la configuración de syslog-ng o rsyslog en no almacenar los registros, que el agente no necesita. Un escenario de disco completo interrumpe la función del agente de Azure Monitor instalado. Obtenga más información sobre rsyslog o syslog-ng.

Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics

Después de configurar el dispositivo basado en Linux para enviar registros a la máquina virtual, compruebe que el agente de Azure Monitor reenvía los datos de Syslog al área de trabajo.

  1. En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.

  2. Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.

  3. En General, seleccione Registros.

  4. Cierre la página Consultas para que aparezca la pestaña Nueva consulta.

  5. Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Limpieza de recursos

Evalúe si necesita los recursos como la máquina virtual que ha creado. Los recursos que deje en ejecución pueden suponer costos. Elimine los recursos que no necesite uno a uno. También puede eliminar el grupo de recursos para eliminar todos los recursos que ha creado.