OMS 中的 Syslog 收集
概要: 學習如何配置並使用用於 Syslog 收集的 OMS Agent for Linux。
OMS 中 Linux 管理最核心的功能就是 Syslog 事件的收集。Linux syslog 事件的範圍可從核心紀錄到應用數據與稽核記錄。除了 Linux 伺服器外,許多網路設備、防火牆和應用程序都允許本機 syslog 轉發。
有了用於 Linux 的 OMS Agent,您就可以將所有轉發的 syslog 訊息帶入強大的 OMS Log Analytics 平台,進而快速透過有意義的指令來搜尋,或是對特定 syslog 事件建立警示。
概觀
用於 Linux 的 OMS Agent 是在 Fluentd 的基礎上,它包含了對 syslog 協定訊息的支援。當用於 Linux 的 OMS Agent 成功安裝後,它將會自動配置其他 syslog 應用程序(rsyslog 和 syslog-ng) 來將所有警告和以上的事件寫入其在 port 25224 的監聽器。
若您已經透過安裝用於 Linux 的 OMS Agent,在一台 Linux 伺服器上轉發事件到 rsyslog 或 syslog-ng,所有受警告的事件都會自動被路由到 OMS 服務。若您想要啟用額外的記錄級別或是方便收藏,可以參閱:從 OMS 入口網站配置 Syslog 收集。
配置用於 Linux 的 OMS Agent 來直接轉發
除了轉發 syslog 訊息到 rsyslog 或 syslog-ng 外,syslog 訊息也可以直接被路由到 用於 Linux 的 OMS Agent。
若要啟用直接收集,需編輯位於 /etc/opt/microsoft/omsagent/conf/omsagent.conf 的 configuration file。
1. 在 configuration file 增加新的來源來吸收傳入的 syslog 數據。
a. 將 <TAGNAME> 替換為一個代表新傳入數據流的自訂名稱。例如:netdevice。
b. 將 <UDP or TCP> 替換為需要的協定種類。
c. 依需求更改 port 設定和 bind 位址。
<source>type syslogport 25226bind 0.0.0.0tag oms.<TAGNAME>protocol_type <UDP OR TCP></source>
2. 在 configuration file 新增過濾器來格式化傳入的 syslog 數據。
a. 將 <TAGNAME> 替換為您在第一步中設定的自訂名稱。
<filter oms.<TAGNAME>.**>type filter_syslog</filter>
3. 重新啟動 OMS Agent 使新的設定生效。
為大容量的 syslog 收集配置用於 Linux 的 OMS Agent
根據預設,在不更改配置的情況下,用於 Linux 的 OMS Agent 可以掌握每秒 500 則訊息。跟著以下的配置,可以變更為每秒掌握2000則訊息。
Note:若有大容量的 syslog 收集,建議使用 TCP 協定來避免訊息遺失。
1. 根據先前的指示啟用新的 OMS Syslog 端點。
2. 編輯用於 Linus 的 OMS Agent 的 configuration file。
a. 增加更多輸出線。
b. 更改 buffer 大小。
c. 減少重試時間。
<match oms.** docker.**>type out_omslog_level infonum_threads 10
buffer_chunk_limit 5mbuffer_type filebuffer_path /var/opt/microsoft/omsagent/state/out_oms*.bufferbuffer_queue_limit 30
flush_interval 20sretry_limit 10# Do not wait more than 5 minutes before sending again
max_retry_wait 300s
retry_wait 2s
</match>
Syslog 場景
因為很多防火牆系統都會允許主機 syslog 的轉發,使得透過用於 Linux 的 OMS Agent 將事件傳至 OMS 變得很容易。當這些紀錄都傳至 OMS 後,我們可以在偵測到特定防火牆事件時利用 OMS Log Analytics 的功能來標記,並透過 e-mail 或是 Webhook 將這些事件路由到所需的擁有者。
在以下範例中,若在 Debian 為基底的系統中使用 Universal Firewall,我們可以在每次收到 “UFW BLOCK” 事件時做警示。我們可以輕易的在 OMS 記錄搜尋中搜尋並建立警示。 
若想詳細了解 OMS 警示功能,可以參閱:在 OMS 中尋找警示。
利用縮小來偵測模式
因為 syslog 包含眾多種類,在可擴展的方式下解讀和洞察這些紀錄成為了一項挑戰。利用 縮小 的功能,能夠讓您快速找出有意義的訊息並將 syslog 事件做分類。
在搜尋紀錄中,點選縮小,便會開始將事件做分類,並讓您能夠快速查看事件之間的共通點。
想要詳細了解縮小功能,請參閱:OMS 記錄搜尋中的縮小。