البرنامج التعليمي: إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics باستخدام Microsoft Sentinel باستخدام Azure Monitor Agent

في هذا البرنامج التعليمي، يمكنك تكوين جهاز ظاهري Linux (VM) لإعادة توجيه بيانات Syslog إلى مساحة العمل الخاصة بك باستخدام Azure Monitor Agent. تسمح لك هذه الخطوات بجمع البيانات ومراقبتها من الأجهزة المستندة إلى Linux حيث لا يمكنك تثبيت عامل مثل جهاز شبكة جدار الحماية.

قم بتكوين جهازك المستند إلى Linux لإرسال البيانات إلى جهاز Linux الظاهري. يقوم عامل Azure Monitor على الجهاز الظاهري بإعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics. ثم استخدم Microsoft Sentinel أو Azure Monitor لمراقبة الجهاز من البيانات المخزنة في مساحة عمل Log Analytics.

في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء قاعدة تجميع بيانات.
• تحقق من تشغيل عامل Azure Monitor.
• تمكين استقبال السجل على المنفذ 514.
• تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics.

المتطلبات الأساسية

لإكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب أن يكون لديك الموارد والأدوار التالية:

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• حساب Azure مع الأدوار التالية لنشر العامل وإنشاء قواعد جمع البيانات.

  الدور مدمج	النطاق	السبب
  - مساهم في الجهاز الظاهري - مسؤول موارد الجهاز المتصل في Azure	- الأجهزة الظاهرية - مجموعات المقياس - الخوادم الممكنة بواسطة Azure Arc	لتوزيع العامل
  أي دور يتضمن الإجراء Microsoft.Resources/التوزيع /*	- الاشتراك - مجموعة الموارد- قاعدة جمع البيانات الموجودة	لنشر قوالب Azure Resource Manager
  المساهم في المراقبة	- الاشتراك - مجموعة الموارد - قاعدة جمع البيانات الموجودة	لإنشاء أو تحرير قواعد جمع البيانات

• مساحة عمل Log Analytics.

• خادم Linux يقوم بتشغيل نظام تشغيل يدعم Azure Monitor Agent.

  • أنظمة تشغيل Linux المدعومة لعامل Azure Monitor.
  • إنشاء جهاز ظاهري يعمل بنظام Linux في مدخل Microsoft Azure أو إضافة خادم Linux محلي إلى Azure Arc.

• جهاز يستند إلى Linux يقوم بإنشاء بيانات سجل الأحداث مثل جهاز شبكة جدار الحماية.

إنشاء قاعدة تجميع البيانات

راجع الإرشادات خطوة بخطوة في إنشاء قاعدة تجميع بيانات.

تحقق من تشغيل عامل Azure Monitor

في Microsoft Sentinel أو Azure Monitor، تحقق من تشغيل عامل Azure Monitor على جهازك الظاهري.

1. في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.

2. إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.

3. تحت عام، حدد السجلات.

4. أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.

5. قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

تمكين استقبال السجل على المنفذ 514

تحقق من أن الجهاز الظاهري الذي يجمع بيانات السجل يسمح بالاستقبال على المنفذ 514 TCP أو UDP اعتمادا على مصدر Syslog. ثم قم بتكوين البرنامج الخفي ل Linux Syslog المضمن على الجهاز الظاهري للاستماع إلى رسائل Syslog من أجهزتك. بعد الانتهاء من هذه الخطوات، قم بتكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري الخاص بك.

يغطي القسمان التاليان كيفية إضافة قاعدة منفذ واردة لجهاز Azure الظاهري وتكوين برنامج Linux Syslog الخفي المضمن.

السماح بنسبة استخدام الشبكة Syslog الواردة على الجهاز الظاهري

إذا كنت تقوم بإعادة توجيه بيانات Syslog إلى جهاز Azure الظاهري، فاتبع هذه الخطوات للسماح باستقبال على المنفذ 514.

1. في ⁧مدخل Azure⁧⁩، ابحث عن ⁧الأجهزة الظاهرية⁧⁩ وحددها.

2. حدد الجهاز الظاهري.

3. ضمن الإعدادات، حدد الشبكات.

4. حدد Add inbound port rule.

5. أدخل القيم التالية.

   الحقل	القيمة
   نطاقات المنفذ الوجهات	514
   البروتوكول	TCP أو UDP اعتمادا على مصدر Syslog
   الإجراء	السماح
   الاسم	AllowSyslogInbound

   استخدم القيم الافتراضية لبقية الحقول.

6. حدد إضافة.

تكوين برنامج Linux Syslog الخفي

الاتصال إلى جهاز Linux الظاهري وتشغيل الأمر التالي لتكوين البرنامج الخفي Linux Syslog:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

يمكن لهذا البرنامج النصي إجراء تغييرات لكل من rsyslog.d وsyslog-ng.

إشعار

لتجنب سيناريوهات القرص الكامل حيث لا يمكن للعامل العمل، نوصي بتعيين syslog-ng أو rsyslog التكوين لعدم تخزين السجلات غير الضرورية. يعطل سيناريو "القرص الكامل" وظيفة عامل Azure Monitor المثبت. اقرأ المزيد حول rsyslog أو syslog-ng.

تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics

بعد تكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري، تحقق من أن Azure Monitor Agent يعيد توجيه بيانات Syslog إلى مساحة العمل الخاصة بك.

1. في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.

2. إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.

3. تحت عام، حدد السجلات.

4. أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.

5. قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

تنظيف الموارد

تقييم ما إذا كنت بحاجة إلى الموارد مثل الجهاز الظاهري الذي قمت بإنشائه. الموارد التي تتركها تعمل يمكن أن تكلفك بغض من المال. احذف الموارد التي لا تحتاج إليها بشكل فردي. يمكنك أيضا حذف مجموعة الموارد لحذف جميع الموارد التي قمت بإنشائها.

المحتوى ذو الصلة

• قواعد جمع البيانات في Azure Monitor
• جمع أحداث Syslog باستخدام Azure Monitor Agent