Samouczek: przekazywanie danych dziennika systemu do obszaru roboczego usługi Log Analytics za pomocą usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor
W tym samouczku skonfigurujesz maszynę wirtualną z systemem Linux, aby przekazywać dane dziennika systemowego do obszaru roboczego przy użyciu agenta usługi Azure Monitor. Te kroki umożliwiają zbieranie i monitorowanie danych z urządzeń z systemem Linux, na których nie można zainstalować agenta takiego jak urządzenie sieciowe zapory.
Uwaga
Usługa Container Insights obsługuje teraz automatyczną kolekcję zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi AKS. Aby dowiedzieć się więcej, zobacz Zbieranie dzienników syslog za pomocą usługi Container Insights.
Skonfiguruj urządzenie z systemem Linux w celu wysyłania danych do maszyny wirtualnej z systemem Linux. Agent usługi Azure Monitor na maszynie wirtualnej przekazuje dane dziennika systemowego do obszaru roboczego usługi Log Analytics. Następnie użyj usługi Microsoft Sentinel lub Azure Monitor, aby monitorować urządzenie z danych przechowywanych w obszarze roboczym usługi Log Analytics.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz regułę zbierania danych.
- Sprawdź, czy agent usługi Azure Monitor jest uruchomiony.
- Włącz odbiór dziennika na porcie 514.
- Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics.
Wymagania wstępne
Aby wykonać kroki opisane w tym samouczku, musisz mieć następujące zasoby i role:
Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Konto platformy Azure z następującymi rolami w celu wdrożenia agenta i utworzenia reguł zbierania danych.
Rola wbudowana Scope Przyczyna - Współautor
- maszyny wirtualnej — administrator zasobów połączonej maszyny platformy Azure— Maszyny wirtualne — zestawy
skalowania — serwery z obsługą usługi Azure ArcAby wdrożyć agenta Dowolna rola obejmująca akcję Microsoft.Resources/deployments/* — Subskrypcja
— grupa
zasobów — istniejąca reguła zbierania danychAby wdrożyć szablony usługi Azure Resource Manager Współautor monitorowania — Subskrypcja
— grupa
zasobów — istniejąca reguła zbierania danychAby utworzyć lub edytować reguły zbierania danych Obszar roboczy usługi Log Analytics.
Serwer z systemem Linux z systemem operacyjnym obsługującym agenta usługi Azure Monitor.
Urządzenie oparte na systemie Linux, które generuje dane dziennika zdarzeń, takie jak urządzenie sieciowe zapory.
Konfigurowanie agenta usługi Azure Monitor w celu zbierania danych dziennika systemowego
Zapoznaj się z instrukcjami krok po kroku w temacie Zbieranie zdarzeń dziennika systemowego za pomocą agenta usługi Azure Monitor.
Sprawdź, czy agent usługi Azure Monitor jest uruchomiony
W usłudze Microsoft Sentinel lub Azure Monitor sprawdź, czy agent usługi Azure Monitor jest uruchomiony na maszynie wirtualnej.
W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.
Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.
W obszarze Ogólne wybierz pozycję Dzienniki.
Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.
Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Włączanie odbioru dziennika na porcie 514
Sprawdź, czy maszyna wirtualna zbierająca dane dziennika zezwala na odbiór na porcie 514 TCP lub UDP w zależności od źródła dziennika systemowego. Następnie skonfiguruj wbudowane demona dziennika systemowego systemu Linux na maszynie wirtualnej, aby nasłuchiwać komunikatów dziennika systemowego z urządzeń. Po wykonaniu tych kroków skonfiguruj urządzenie oparte na systemie Linux, aby wysyłało dzienniki do maszyny wirtualnej.
Uwaga
Jeśli zapora jest uruchomiona, należy utworzyć regułę, aby umożliwić systemom zdalnym dostęp do odbiornika dziennika systemowego demona: systemctl status firewalld.service
- Dodaj dla protokołu tcp 514 (twój strefowy/port/protokół może się różnić w zależności od scenariusza)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Dodaj dla protokołu udp 514 (twoja strefa/port/protokół może się różnić w zależności od scenariusza)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Uruchom ponownie usługę zapory, aby upewnić się, że nowe reguły zostaną zastosowane
systemctl restart firewalld.service
W poniższych dwóch sekcjach opisano sposób dodawania reguły portu przychodzącego dla maszyny wirtualnej platformy Azure i konfigurowania wbudowanego demona dziennika systemowego systemu Linux.
Zezwalaj na przychodzący ruch syslogu na maszynie wirtualnej
Jeśli przekazujesz dane dziennika systemowego do maszyny wirtualnej platformy Azure, wykonaj następujące kroki, aby zezwolić na odbiór na porcie 514.
W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
Wybierz maszynę wirtualną.
W obszarze Ustawienia wybierz pozycję Sieć.
Wybierz pozycję Dodaj regułę portu wejściowego.
Wprowadź następujące wartości.
Pole Wartość Zakresy portów docelowych 514 Protokół Tcp lub UDP w zależności od źródła dziennika systemowego Akcja Zezwalaj Nazwisko AllowSyslogInbound Użyj wartości domyślnych w pozostałych polach.
Wybierz Dodaj.
Konfigurowanie demona dziennika systemu Linux
Połącz się z maszyną wirtualną z systemem Linux i skonfiguruj demona dziennika systemu Linux. Na przykład uruchom następujące polecenie, dostosowując polecenie zgodnie z potrzebami dla środowiska sieciowego:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Ten skrypt może wprowadzać zmiany zarówno dla rsyslog.d, jak i syslog-ng.
Uwaga
Aby uniknąć scenariuszy pełnego dysku, w których agent nie może działać, należy ustawić syslog-ng
konfigurację lub rsyslog
, aby nie przechowywać dzienników, które nie są wymagane przez agenta. Scenariusz pełny dysk zakłóca działanie zainstalowanego agenta usługi Azure Monitor.
Przeczytaj więcej na temat narzędzia rsyslog lub syslog-ng.
Sprawdź, czy dane dziennika systemowego są przekazywane do obszaru roboczego usługi Log Analytics
Po skonfigurowaniu urządzenia z systemem Linux w celu wysyłania dzienników do maszyny wirtualnej sprawdź, czy agent usługi Azure Monitor przekazuje dane dziennika systemowego do obszaru roboczego.
W witrynie Azure Portal wyszukaj i otwórz usługę Microsoft Sentinel lub Azure Monitor.
Jeśli używasz usługi Microsoft Sentinel, wybierz odpowiedni obszar roboczy.
W obszarze Ogólne wybierz pozycję Dzienniki.
Zamknij stronę Zapytania, aby wyświetlić kartę Nowe zapytanie.
Uruchom następujące zapytanie, w którym zastąp wartość komputera nazwą maszyny wirtualnej z systemem Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Czyszczenie zasobów
Oceń, czy potrzebujesz zasobów, takich jak utworzona maszyna wirtualna. Zasoby, które opuszczasz, mogą kosztować Pieniądze. Usuń zasoby, których nie potrzebujesz indywidualnie. Możesz również usunąć grupę zasobów, aby usunąć wszystkie utworzone zasoby.