Tutorial: Encaminhar dados do Syslog para um workspace do Log Analytics por meio do Agente do Azure Monitor com o Microsoft Sentinel
Neste tutorial, você configura uma VM (máquina virtual) do Linux para encaminhar dados de Syslog para o workspace usando o Agente do Azure Monitor. Essas etapas permitem que você colete e monitore dados de dispositivos baseados em Linux em que não é possível instalar um agente como um dispositivo de rede de firewall.
Observação
O Container Insights já oferece suporte à coleta automática dos eventos do Syslog dos nós do Linux nos seus clusters do AKS. Para saber mais, consulte Coleção do Syslog com o Container Insights.
Configure seu dispositivo baseado em Linux para enviar dados para uma VM do Linux. Agente do Azure Monitor na VM encaminha os dados do Syslog para o workspace do Log Analytics. Em seguida, use o Microsoft Sentinel ou o Azure Monitor para monitorar o dispositivo a partir dos dados armazenados no workspace do Log Analytics.
Neste tutorial, você aprenderá como:
- Crie uma regra de coleta de dados.
- Verifique se o Agente do Azure Monitor está em execução.
- Habilite a recepção de log na porta 514.
- Verifique se os dados do Syslog são encaminhados para o workspace do Log Analytics
Pré-requisitos
Para concluir as etapas neste tutorial, você deve ter os seguintes recursos e funções:
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Uma conta do Azure com as seguintes funções para implantar o agente e criar as regras de coleta de dados:
Função interna Escopo Motivo - Colaborador da Máquina Virtual
- Administrador de Recursos do Azure Connected Machine– Máquinas virtuais
– Conjuntos de dimensionamento
– Servidores habilitados para Azure ArcPara implantar o agente Qualquer função que inclua a ação Microsoft.Resources/deployments/* – Assinatura
– Grupo de recursos
– Regra de coleta de dados existentePara implantar os modelos do Azure Resource Manager Colaborador de monitoramento – Assinatura
– Grupo de recursos
– Regra de coleta de dados existenteCriar ou editar regras de coleta de dados Um workspace do Log Analytics.
Um servidor Linux executando um sistema operacional que dá suporte ao Agente do Azure Monitor.
Um dispositivo baseado em Linux que gera dados de log de eventos como um dispositivo de rede de firewall.
Configurar o Agente do Azure Monitor para coletar dados do Syslog
Consulte as instruções passo a passo em Coletar eventos do Syslog com o Agente do Azure Monitor.
Verificar se o Agente do Azure Monitor está em execução
No Microsoft Sentinel ou no Azure Monitor, verifique se o Agente do Azure Monitor está em execução na VM.
No portal do Azure, pesquise por Microsoft Sentinel ou Azure Monitor e abra-o.
Se você estiver usando o Microsoft Sentinel, selecione o workspace apropriado.
Em Geral, selecione Logs.
Feche a página Consultas para que a guia Nova Consulta apareça.
Execute a consulta a seguir em que você substitui o valor do computador pelo nome da VM do Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Habilitar a recepção de log na porta 514
Verifique se a VM que está coletando os dados de log permite a recepção na porta 514 TCP ou UDP, dependendo da origem do Syslog. Em seguida, configure o daemon de Syslog do Linux interno na VM para escutar mensagens de Syslog dos dispositivos. Após terminar essas etapas, configure o dispositivo baseado em Linux para enviar logs para sua VM.
Observação
Se o firewall estiver em execução, uma regra precisará ser criada para permitir que os sistemas remotos alcancem o ouvinte do syslog do daemon: systemctl status firewalld.service
- Adicionar para tcp 514 (sua zona/porta/protocolo pode diferir dependendo do seu cenário)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Adicionar para udp 514 (sua zona/porta/protocolo pode diferir dependendo do seu cenário)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Reinicie o serviço de firewall para garantir que novas regras entrem em vigor
systemctl restart firewalld.service
As duas seções a seguir abordam como adicionar uma regra de porta de entrada para uma VM do Azure e configurar o daemon de Syslog do Linux interno.
Permitir o tráfego de Syslog de entrada na VM
Se você estiver encaminhando dados de Syslog para uma VM do Azure, siga essas etapas para permitir a recepção na porta 514.
No portal do Azure, pesquise e selecione Máquinas virtuais.
Selecione a VM.
Em Configurações, selecione Rede.
Selecione Adicionar regra de porta de entrada.
Insira os valores a seguir.
Campo Valor Intervalos de portas de destino 514 Protocolo TCP ou UDP dependendo da origem do Syslog Ação Allow Nome AllowSyslogInbound Use os valores padrão no restante dos campos.
Selecione Adicionar.
Configurar o daemon do Syslog do Linux
Conecte-se à sua VM Linux e configure o daemon Syslog do Linux. Por exemplo, execute o seguinte comando, adaptando o comando conforme necessário para o seu ambiente de rede:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Esse script pode fazer alterações no rsyslog.d e syslog-ng.
Observação
Para evitar Cenários de Disco Completo em que o agente não pode funcionar, você deve definir a configuração de syslog-ng
ou rsyslog
para não armazenar logs, que não sejam necessários para o agente. Um cenário de Disco Completo interrompe a função do Agente do Azure Monitor instalado.
Leia mais sobre rsyslog ou syslog-ng.
Verificar se os dados do Syslog são encaminhados para o workspace do Log Analytics
Após configurar seu dispositivo baseado em Linux para enviar logs para sua VM, verifique se o Agente do Azure Monitor está encaminhando os dados do Syslog para o workspace.
No portal do Azure, pesquise por Microsoft Sentinel ou Azure Monitor e abra-o.
Se você estiver usando o Microsoft Sentinel, selecione o workspace apropriado.
Em Geral, selecione Logs.
Feche a página Consultas para que a guia Nova Consulta apareça.
Execute a consulta a seguir em que você substitui o valor do computador pelo nome da VM do Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Limpar os recursos
Avalie se você precisa dos recursos como a VM que você criou. Os recursos que você deixa em execução podem lhe custar dinheiro. Exclua os recursos que não sejam necessários individualmente. Você também pode excluir o grupo de recursos para excluir todos os recursos criados.