Поделиться через


Руководство по пересылке данных системного журнала в рабочую область Log Analytics с помощью агента Azure Monitor

В этом руководстве описана настройка виртуальной машины Linux для пересылки данных системного журнала в рабочую область с помощью агента Azure Monitor. Эти действия позволяют собирать и отслеживать данные с устройств под управлением Linux, где невозможно установить агент, например сетевое устройство брандмауэра.

Примечание.

Служба Container Insights теперь поддерживает автоматическую коллекцию событий Системного журнала с узлов Linux в кластерах AKS. Дополнительные сведения см . в коллекции системных журналов с помощью Container Insights.

Настройте устройство под управлением Linux для отправки данных на виртуальную машину Linux. Агент Azure Monitor на виртуальной машине перенаправит данные системного журнала в рабочую область Log Analytics. Затем используйте Microsoft Sentinel или Azure Monitor для мониторинга устройства из данных, хранящихся в рабочей области Log Analytics.

В этом руководстве описано следующее:

  • Создайте правило сбора данных.
  • Убедитесь, что агент Azure Monitor запущен.
  • Включите прием журналов через порт 514.
  • Убедитесь, что данные системного журнала пересылаются в рабочую область Log Analytics.

Необходимые компоненты

Чтобы выполнить действия, описанные в этом руководстве, необходимо иметь следующие ресурсы и роли:

Настройка агента Azure Monitor для сбора данных системного журнала

Пошаговые инструкции см. в статье "Сбор событий системного журнала" с помощью агента Azure Monitor.

Убедитесь, что агент Azure Monitor запущен

В Microsoft Sentinel или Azure Monitor убедитесь, что агент Azure Monitor запущен на виртуальной машине.

  1. На портале Microsoft Azure найдите и откройте Microsoft Sentinel или Azure Monitor.

  2. Если вы используете Microsoft Sentinel, выберите соответствующую рабочую область.

  3. В разделе Общие щелкните Журналы.

  4. Закройте страницу "Запросы", чтобы появилась вкладка "Создать запрос".

  5. Выполните следующий запрос, где замените значение компьютера именем виртуальной машины Linux.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Включение приема журналов через порт 514

Убедитесь, что виртуальная машина, которая собирает данные журнала, разрешает прием через порт 514 TCP или UDP в зависимости от источника системного журнала. Затем настройте встроенную управляю системного журнала Linux на виртуальной машине, чтобы прослушивать сообщения Системного журнала с устройств. После выполнения этих действий настройте устройство под управлением Linux для отправки журналов на виртуальную машину.

Примечание.

Если брандмауэр запущен, необходимо создать правило, чтобы разрешить удаленным системам доступ к прослушивателю системного журнала управляющей программы: systemctl status firewalld.service

  1. Добавление для tcp 514 (ваша зона или порт или протокол могут отличаться в зависимости от вашего сценария). firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Добавление для udp 514 (ваша зона или порт или протокол могут отличаться в зависимости от вашего сценария). firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Перезапустите службу брандмауэра, чтобы убедиться, что новые правила вступили в силу systemctl restart firewalld.service

В следующих двух разделах описывается добавление правила входящего порта для виртуальной машины Azure и настройка встроенной управляющей программы системного журнала Linux.

Разрешить входящий трафик системного журнала на виртуальной машине

Если вы перенаправите данные системного журнала на виртуальную машину Azure, выполните следующие действия, чтобы разрешить прием через порт 514.

  1. На портале Azure найдите и выберите Виртуальные машины.

  2. Выберите виртуальную машину.

  3. В разделе Параметры выберите Сеть.

  4. Выберите Добавить правило входящего порта.

  5. Введите следующие значения.

    Поле значение
    Диапазоны портов назначения 514
    Протокол TCP или UDP в зависимости от источника системного журнала
    Действие Allow
    Имя. AllowSyslogInbound

    Для остальных полей используйте значения по умолчанию.

  6. Выберите Добавить.

Настройка управляющей программы системного журнала Linux

Подключитесь к виртуальной машине Linux и настройте управляющая программа системного журнала Linux. Например, выполните следующую команду, адаптируя команду по мере необходимости для сетевой среды:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Этот скрипт может вносить изменения в файлы rsyslog.d и syslog-ng.

Примечание.

Чтобы избежать сценариев полного диска, в которых агент не может функционировать, рекомендуется установить или rsyslog настроить syslog-ng конфигурацию, чтобы не хранить ненужные журналы. Сценарий полного диска нарушает функцию установленного агента Azure Monitor. Дополнительные сведения о rsyslog или syslog-ng.

Проверка пересылки данных системного журнала в рабочую область Log Analytics

После настройки устройства под управлением Linux для отправки журналов на виртуальную машину убедитесь, что агент Azure Monitor перенаправит данные системного журнала в рабочую область.

  1. На портале Microsoft Azure найдите и откройте Microsoft Sentinel или Azure Monitor.

  2. Если вы используете Microsoft Sentinel, выберите соответствующую рабочую область.

  3. В разделе Общие щелкните Журналы.

  4. Закройте страницу "Запросы", чтобы появилась вкладка "Создать запрос".

  5. Выполните следующий запрос, где замените значение компьютера именем виртуальной машины Linux.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Очистка ресурсов

Оцените, нужны ли ресурсы, такие как созданная виртуальная машина. Работающие ресурсы могут приводить к дополнительным затратам. Удалите ресурсы, которые вам не нужны по отдельности. Вы также можете удалить группу ресурсов, чтобы удалить все созданные ресурсы.