Udostępnij za pośrednictwem


Samouczek: przekazywanie danych dziennika systemu do obszaru roboczego usługi Log Analytics za pomocą usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor

W tym samouczku skonfigurujesz maszynę wirtualną z systemem Linux, aby przekazywać dane dziennika systemowego do obszaru roboczego przy użyciu agenta usługi Azure Monitor. Te kroki umożliwiają zbieranie i monitorowanie danych z urządzeń z systemem Linux, na których nie można zainstalować agenta takiego jak urządzenie sieciowe zapory.

Uwaga

Usługa Container Insights obsługuje teraz automatyczną kolekcję zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi AKS. Aby dowiedzieć się więcej, zobacz Zbieranie dzienników syslog za pomocą usługi Container Insights.

Skonfiguruj urządzenie z systemem Linux w celu wysyłania danych do maszyny wirtualnej z systemem Linux. Agent usługi Azure Monitor na maszynie wirtualnej przekazuje dane dziennika systemowego do obszaru roboczego usługi Log Analytics. Następnie użyj usługi Microsoft Sentinel lub Azure Monitor, aby monitorować urządzenie z danych przechowywanych w obszarze roboczym usługi Log Analytics.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz regułę zbierania danych.
  • Sprawdź, czy agent usługi Azure Monitor jest uruchomiony.
  • Włącz odbiór dziennika na porcie 514.
  • Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics.

Wymagania wstępne

Aby wykonać kroki opisane w tym samouczku, musisz mieć następujące zasoby i role:

Konfigurowanie agenta usługi Azure Monitor w celu zbierania danych dziennika systemowego

Zapoznaj się z instrukcjami krok po kroku w temacie Zbieranie zdarzeń dziennika systemowego za pomocą agenta usługi Azure Monitor.

Sprawdź, czy agent usługi Azure Monitor jest uruchomiony

W usłudze Microsoft Sentinel lub Azure Monitor sprawdź, czy agent usługi Azure Monitor jest uruchomiony na maszynie wirtualnej.

  1. W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.

  2. Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.

  3. W obszarze Ogólne wybierz pozycję Dzienniki.

  4. Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.

  5. Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Włączanie odbioru dziennika na porcie 514

Sprawdź, czy maszyna wirtualna zbierająca dane dziennika zezwala na odbiór na porcie 514 TCP lub UDP w zależności od źródła dziennika systemowego. Następnie skonfiguruj wbudowane demona dziennika systemowego systemu Linux na maszynie wirtualnej, aby nasłuchiwać komunikatów dziennika systemowego z urządzeń. Po wykonaniu tych kroków skonfiguruj urządzenie oparte na systemie Linux, aby wysyłało dzienniki do maszyny wirtualnej.

Uwaga

Jeśli zapora jest uruchomiona, należy utworzyć regułę, aby umożliwić systemom zdalnym dostęp do odbiornika dziennika systemowego demona: systemctl status firewalld.service

  1. Dodaj dla protokołu tcp 514 (twój strefowy/port/protokół może się różnić w zależności od scenariusza) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Dodaj dla protokołu udp 514 (twoja strefa/port/protokół może się różnić w zależności od scenariusza) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Uruchom ponownie usługę zapory, aby upewnić się, że nowe reguły zostaną zastosowane systemctl restart firewalld.service

W poniższych dwóch sekcjach opisano sposób dodawania reguły portu przychodzącego dla maszyny wirtualnej platformy Azure i konfigurowania wbudowanego demona dziennika systemowego systemu Linux.

Zezwalaj na przychodzący ruch syslogu na maszynie wirtualnej

Jeśli przekazujesz dane dziennika systemowego do maszyny wirtualnej platformy Azure, wykonaj następujące kroki, aby zezwolić na odbiór na porcie 514.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.

  2. Wybierz maszynę wirtualną.

  3. W obszarze Ustawienia wybierz pozycję Sieć.

  4. Wybierz pozycję Dodaj regułę portu wejściowego.

  5. Wprowadź następujące wartości.

    Pole Wartość
    Zakresy portów docelowych 514
    Protokół Tcp lub UDP w zależności od źródła dziennika systemowego
    Akcja Zezwalaj
    Nazwisko AllowSyslogInbound

    Użyj wartości domyślnych w pozostałych polach.

  6. Wybierz Dodaj.

Konfigurowanie demona dziennika systemu Linux

Połącz się z maszyną wirtualną z systemem Linux i skonfiguruj demona dziennika systemu Linux. Na przykład uruchom następujące polecenie, dostosowując polecenie zgodnie z potrzebami dla środowiska sieciowego:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Ten skrypt może wprowadzać zmiany zarówno dla rsyslog.d, jak i syslog-ng.

Uwaga

Aby uniknąć scenariuszy pełnego dysku, w których agent nie może działać, należy ustawić syslog-ng konfigurację lub rsyslog , aby nie przechowywać dzienników, które nie są wymagane przez agenta. Scenariusz pełny dysk zakłóca działanie zainstalowanego agenta usługi Azure Monitor. Przeczytaj więcej na temat narzędzia rsyslog lub syslog-ng.

Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics

Po skonfigurowaniu urządzenia z systemem Linux w celu wysyłania dzienników do maszyny wirtualnej sprawdź, czy agent usługi Azure Monitor przekazuje dane dziennika systemowego do obszaru roboczego.

  1. W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.

  2. Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.

  3. W obszarze Ogólne wybierz pozycję Dzienniki.

  4. Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.

  5. Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Czyszczenie zasobów

Oceń, czy potrzebujesz zasobów, takich jak utworzona maszyna wirtualna. Zasoby, które opuszczasz, mogą kosztować Pieniądze. Usuń zasoby, których nie potrzebujesz indywidualnie. Możesz również usunąć grupę zasobów, aby usunąć wszystkie utworzone zasoby.