البرنامج التعليمي: إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics باستخدام Microsoft Sentinel باستخدام Azure Monitor Agent
في هذا البرنامج التعليمي، يمكنك تكوين جهاز ظاهري Linux (VM) لإعادة توجيه بيانات Syslog إلى مساحة العمل الخاصة بك باستخدام Azure Monitor Agent. تسمح لك هذه الخطوات بجمع البيانات ومراقبتها من الأجهزة المستندة إلى Linux حيث لا يمكنك تثبيت عامل مثل جهاز شبكة جدار الحماية.
قم بتكوين جهازك المستند إلى Linux لإرسال البيانات إلى جهاز Linux الظاهري. يقوم عامل Azure Monitor على الجهاز الظاهري بإعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics. ثم استخدم Microsoft Sentinel أو Azure Monitor لمراقبة الجهاز من البيانات المخزنة في مساحة عمل Log Analytics.
في هذا البرنامج التعليمي، تتعلم كيفية:
- إنشاء قاعدة تجميع بيانات.
- تحقق من تشغيل عامل Azure Monitor.
- تمكين استقبال السجل على المنفذ 514.
- تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics.
المتطلبات الأساسية
لإكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب أن يكون لديك الموارد والأدوار التالية:
حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
حساب Azure مع الأدوار التالية لنشر العامل وإنشاء قواعد جمع البيانات.
الدور مدمج النطاق السبب - مساهم في الجهاز الظاهري
- مسؤول موارد الجهاز المتصل في Azure- الأجهزة
الظاهرية - مجموعات المقياس
- الخوادم الممكنة بواسطة Azure Arcلتوزيع العامل أي دور يتضمن الإجراء Microsoft.Resources/التوزيع /* - الاشتراك
- مجموعة
الموارد- قاعدة جمع البيانات الموجودةلنشر قوالب Azure Resource Manager المساهم في المراقبة - الاشتراك
- مجموعة
الموارد - قاعدة جمع البيانات الموجودةلإنشاء أو تحرير قواعد جمع البيانات مساحة عمل Log Analytics.
خادم Linux يقوم بتشغيل نظام تشغيل يدعم Azure Monitor Agent.
جهاز يستند إلى Linux يقوم بإنشاء بيانات سجل الأحداث مثل جهاز شبكة جدار الحماية.
إنشاء قاعدة تجميع البيانات
راجع الإرشادات خطوة بخطوة في إنشاء قاعدة تجميع بيانات.
تحقق من تشغيل عامل Azure Monitor
في Microsoft Sentinel أو Azure Monitor، تحقق من تشغيل عامل Azure Monitor على جهازك الظاهري.
في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.
إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.
تحت عام، حدد السجلات.
أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.
قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.
Heartbeat | where Computer == "vm-linux" | take 10
تمكين استقبال السجل على المنفذ 514
تحقق من أن الجهاز الظاهري الذي يجمع بيانات السجل يسمح بالاستقبال على المنفذ 514 TCP أو UDP اعتمادا على مصدر Syslog. ثم قم بتكوين البرنامج الخفي ل Linux Syslog المضمن على الجهاز الظاهري للاستماع إلى رسائل Syslog من أجهزتك. بعد الانتهاء من هذه الخطوات، قم بتكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري الخاص بك.
يغطي القسمان التاليان كيفية إضافة قاعدة منفذ واردة لجهاز Azure الظاهري وتكوين برنامج Linux Syslog الخفي المضمن.
السماح بنسبة استخدام الشبكة Syslog الواردة على الجهاز الظاهري
إذا كنت تقوم بإعادة توجيه بيانات Syslog إلى جهاز Azure الظاهري، فاتبع هذه الخطوات للسماح باستقبال على المنفذ 514.
في مدخل Azure، ابحث عن الأجهزة الظاهرية وحددها.
حدد الجهاز الظاهري.
ضمن الإعدادات، حدد الشبكات.
حدد Add inbound port rule.
أدخل القيم التالية.
الحقل القيمة نطاقات المنفذ الوجهات 514 البروتوكول TCP أو UDP اعتمادا على مصدر Syslog الإجراء السماح الاسم AllowSyslogInbound استخدم القيم الافتراضية لبقية الحقول.
حدد إضافة.
تكوين برنامج Linux Syslog الخفي
الاتصال إلى جهاز Linux الظاهري وتشغيل الأمر التالي لتكوين البرنامج الخفي Linux Syslog:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
يمكن لهذا البرنامج النصي إجراء تغييرات لكل من rsyslog.d وsyslog-ng.
إشعار
لتجنب سيناريوهات القرص الكامل حيث لا يمكن للعامل العمل، نوصي بتعيين syslog-ng
أو rsyslog
التكوين لعدم تخزين السجلات غير الضرورية. يعطل سيناريو "القرص الكامل" وظيفة عامل Azure Monitor المثبت.
اقرأ المزيد حول rsyslog أو syslog-ng.
تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics
بعد تكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري، تحقق من أن Azure Monitor Agent يعيد توجيه بيانات Syslog إلى مساحة العمل الخاصة بك.
في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.
إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.
تحت عام، حدد السجلات.
أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.
قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.
Syslog | where Computer == "vm-linux" | summarize by HostName
تنظيف الموارد
تقييم ما إذا كنت بحاجة إلى الموارد مثل الجهاز الظاهري الذي قمت بإنشائه. الموارد التي تتركها تعمل يمكن أن تكلفك بغض من المال. احذف الموارد التي لا تحتاج إليها بشكل فردي. يمكنك أيضا حذف مجموعة الموارد لحذف جميع الموارد التي قمت بإنشائها.