規劃 syslog 資料收集
警告
本文會參考 CentOS,這是生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據以考慮您的使用和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
您可以使用適用於 Linux 的 Azure 監視器代理程式和資料收集規則,從以 Linux 為基礎、支援 Syslog 的機器或設備,將事件串流至 Microsoft Sentinel。 任何裝置只要可讓您直接在主機上安裝代理程式,都可以這樣串流。 主機的原生 Syslog 精靈會收集指定型別的本機事件,並將事件轉送到本機代理程式,以串流至您的 Log Analytics 工作區。
Log Analytics 支援收集由 rsyslog 或 syslog-ng 精靈所傳送的訊息,預設為 rsyslog。 在 Red Hat Enterprise Linux (RHEL) 版本 5、CentOS 和 Oracle Linux 版本 (sysklog) 上,預設 syslog 精靈不支援 Syslog 事件收集。 應該安裝並設定 rsyslog 精靈,以取代這些 Linux 版本的 sysklog。
運作方式
Syslog 是通用於 Linux 的事件記錄通訊協定。 在 VM 或設備上安裝代理程式時,安裝常式會將本機 Syslog 精靈設定為在 TCP 通訊埠 25224 上,將訊息轉送至代理程式。 接著,代理程式透過 HTTPS 將訊息傳送至 Log Analytics 工作區,然後在 [Microsoft Sentinel] > [記錄] 中,在 Syslog 資料表中剖析成事件記錄項目。