Zelfstudie: Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van Azure Monitor Agent
In deze zelfstudie configureert u een virtuele Linux-machine (VM) om Syslog-gegevens door te sturen naar uw werkruimte met behulp van Azure Monitor Agent. Met deze stappen kunt u gegevens verzamelen en bewaken van Linux-apparaten waarop u geen agent zoals een firewallnetwerkapparaat kunt installeren.
Notitie
Container Insights ondersteunt nu de automatische verzameling Syslog-gebeurtenissen van Linux-knooppunten in uw AKS-clusters. Zie de Syslog-verzameling met Container Insights voor meer informatie.
Configureer uw Op Linux gebaseerde apparaat om gegevens te verzenden naar een Virtuele Linux-machine. De Azure Monitor-agent op de virtuele machine stuurt de Syslog-gegevens door naar de Log Analytics-werkruimte. Gebruik vervolgens Microsoft Sentinel of Azure Monitor om het apparaat te bewaken op basis van de gegevens die zijn opgeslagen in de Log Analytics-werkruimte.
In deze zelfstudie leert u het volgende:
- Maak een gegevensverzamelingsregel.
- Controleer of de Azure Monitor-agent wordt uitgevoerd.
- Schakel de receptie van logboeken in op poort 514.
- Controleer of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte.
Vereisten
Als u de stappen in deze zelfstudie wilt uitvoeren, moet u over de volgende resources en rollen beschikken:
Een Azure-account met een actief abonnement. Gratis een account maken
Een Azure-account met de volgende rollen om de agent te implementeren en de regels voor gegevensverzameling te maken.
Ingebouwde rol Bereik Reden - Resourcebeheerder voor inzender
- voor virtuele machines in Azure Connected Machine- Virtuele machines
- Schaalsets
- Servers met Azure ArcDe agent implementeren Elke rol die de actie Microsoft.Resources/deployments/* bevat - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingAzure Resource Manager-sjablonen implementeren Controlebijdrager - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingRegels voor gegevensverzameling maken of bewerken Een Log Analytics-werkruimte.
Een Linux-server waarop een besturingssysteem wordt uitgevoerd dat ondersteuning biedt voor De Azure Monitor-agent.
Een op Linux gebaseerd apparaat dat gebeurtenislogboekgegevens genereert, zoals een firewallnetwerkapparaat.
Azure Monitor-agent configureren voor het verzamelen van Syslog-gegevens
Zie de stapsgewijze instructies in Syslog-gebeurtenissen verzamelen met de Azure Monitor-agent.
Controleer of de Azure Monitor-agent wordt uitgevoerd
Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VIRTUELE machine.
Zoek en open Microsoft Sentinel of Azure Monitor in Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Heartbeat | where Computer == "vm-linux" | take 10
Logboekontvangst inschakelen op poort 514
Controleer of de VM die de logboekgegevens verzamelt, de ontvangst op poort 514 TCP of UDP toestaat, afhankelijk van de Syslog-bron. Configureer vervolgens de ingebouwde Linux Syslog-daemon op de VIRTUELE machine om te luisteren naar Syslog-berichten van uw apparaten. Nadat u deze stappen hebt voltooid, configureert u het op Linux gebaseerde apparaat om logboeken naar uw VM te verzenden.
Notitie
Als de firewall wordt uitgevoerd, moet er een regel worden gemaakt zodat externe systemen de syslog-listener van de daemon kunnen bereiken: systemctl status firewalld.service
- Toevoegen voor tcp 514 (uw zone/poort/protocol kan verschillen, afhankelijk van uw scenario)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Toevoegen voor udp 514 (uw zone/poort/protocol kan variëren, afhankelijk van uw scenario)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Start de firewallservice opnieuw om ervoor te zorgen dat nieuwe regels van kracht worden
systemctl restart firewalld.service
In de volgende twee secties wordt beschreven hoe u een regel voor binnenkomende poorten toevoegt voor een Azure-VM en hoe u de ingebouwde Linux Syslog-daemon configureert.
Binnenkomend Syslog-verkeer op de VIRTUELE machine toestaan
Als u Syslog-gegevens doorstuurt naar een Azure-VM, volgt u deze stappen om ontvangst op poort 514 toe te staan.
Zoek en selecteer virtuele machines in Azure Portal.
Selecteer de VM.
Selecteer Onder Instellingen de optie Netwerken.
Selecteer Add inbound port rule.
Voer de volgende waarden in.
Veld Waarde Poortbereiken van doel 514 Protocol TCP of UDP, afhankelijk van de Syslog-bron Actie Toestaan Naam AllowSyslogInbound Gebruik de standaardwaarden voor de overige velden.
Selecteer Toevoegen.
De Linux Syslog-daemon configureren
Maak verbinding met uw Linux-VM en configureer de Linux Syslog-daemon. Voer bijvoorbeeld de volgende opdracht uit en pas de opdracht zo nodig aan voor uw netwerkomgeving:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Dit script kan wijzigingen aanbrengen voor zowel rsyslog.d als syslog-ng.
Notitie
Om scenario's met volledige schijven te voorkomen waarbij de agent niet kan functioneren, raden we u aan om de syslog-ng
of rsyslog
configuratie niet in te stellen om overbodige logboeken op te slaan. Een scenario met volledige schijf verstoort de functie van de geïnstalleerde Azure Monitor-agent.
Lees meer over rsyslog of syslog-ng.
Controleren of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte
Nadat u uw Linux-apparaat hebt geconfigureerd om logboeken naar uw VM te verzenden, controleert u of de Azure Monitor-agent Syslog-gegevens doorstuurt naar uw werkruimte.
Zoek en open Microsoft Sentinel of Azure Monitor in Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Syslog | where Computer == "vm-linux" | summarize by HostName
Resources opschonen
Evalueer of u de resources nodig hebt, zoals de VM die u hebt gemaakt. Resources die u verlaat, kunnen u geld kosten. Verwijder de resources die u niet afzonderlijk nodig hebt. U kunt ook de resourcegroep verwijderen om alle resources te verwijderen die u hebt gemaakt.