Tutorial: Reenvío de datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante el agente de Azure Monitor
En este tutorial configura una máquina virtual Linux para reenviar datos de Syslog al área de trabajo mediante el agente de Azure Monitor. Estos pasos permiten recopilar y supervisar datos de los dispositivos basados en Linux en los que no se puede instalar un agente, como un dispositivo de red de firewall.
Configure el dispositivo basado en Linux para enviar datos a una máquina virtual Linux. El agente de Azure Monitor de la máquina virtual reenvía los datos de Syslog al área de trabajo de Log Analytics. A continuación, use Microsoft Sentinel o Azure Monitor para supervisar el dispositivo desde los datos almacenados en el área de trabajo de Log Analytics.
En este tutorial, aprenderá a:
- Cree una regla de recopilación de datos.
- Compruebe que el agente de Azure Monitor se está ejecutando.
- Habilitación de la recepción de registros en el puerto 514.
- Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics.
Requisitos previos
Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles:
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Una cuenta de Azure con los siguientes roles para implementar el agente y crear las reglas de recopilación de datos.
Rol integrado Ámbito Motivo - Colaborador de la máquina virtual
- Administrador de recursos de Azure Connected Machine- Máquinas virtuales
- Conjuntos de escalado
- Servidores habilitados para Azure ArcImplementación del agente Cualquier rol que incluya la acción Microsoft.Resources/deployments/* - Suscripción
- Grupo de recursos
- Regla de recopilación de datos existenteImplementación de las plantillas de Azure Resource Manager Colaborador de supervisión - Suscripción
- Grupo de recursos
- Regla de recopilación de datos existentePara crear o editar reglas de recopilación de datos Un área de trabajo de Log Analytics.
Un servidor Linux que ejecuta un sistema operativo que admita el agente de Azure Monitor.
Un dispositivo basado en Linux que genere datos de registro de eventos, como un dispositivo de red de firewall.
Creación de una regla de recopilación de datos
Consulte las instrucciones paso a paso en Creación de una regla de recopilación de datos.
Comprobación de que el agente de Azure Monitor se está ejecutando
Desde Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se ejecuta en la máquina virtual.
En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.
Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.
En General, seleccione Registros.
Cierre la página Consultas para que aparezca la pestaña Nueva consulta.
Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Habilitación de la recepción de registros en el puerto 514
Compruebe que la máquina virtual que recopila los datos de registro permite la recepción en el puerto 514 TCP o UDP, según el origen de Syslog. Después, configure el demonio de Syslog Linux integrado en la máquina virtual para escuchar los mensajes de Syslog desde los dispositivos. Después de completar esos pasos, configure el dispositivo basado en Linux para enviar los registros a la máquina virtual.
En las dos secciones siguientes se explica cómo agregar una regla de puerto de entrada para una máquina virtual de Azure y configurar el demonio de Syslog Linux integrado.
Tráfico de Syslog entrante permitido en la máquina virtual
Si va a reenviar datos de Syslogs a una máquina virtual de Azure, siga estos pasos para permitir la recepción en el puerto 514.
En Azure Portal, busque y seleccione Máquinas virtuales.
Seleccione la máquina virtual.
En Configuración, seleccione Redes.
Seleccione Agregar regla de puerto de entrada.
Escriba los siguientes valores:
Campo Value Intervalos de puertos de destino 514 Protocolo TCP o UDP en función del origen de Syslog Acción Allow NOMBRE AllowSyslogInbound Use los valores predeterminados en el resto de los campos.
Seleccione Agregar.
Configuración del demonio de Syslog de Linux
Nota
Para evitar escenarios de disco completo en los que el agente no puede funcionar, se recomienda establecer la configuración de syslog-ng
o rsyslog
en no almacenar los registros innecesarios. Un escenario de disco completo interrumpe la función del agente de Azure Monitor instalado.
Obtenga más información sobre rsyslog o syslog-ng.
Conéctese a la máquina virtual Linux y ejecute el siguiente comando para configurar el demonio de Syslog Linux:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Este script realiza cambios para rsyslog.d y syslog-ng.
Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics
Después de configurar el dispositivo basado en Linux para enviar registros a la máquina virtual, compruebe que el agente de Azure Monitor reenvía los datos de Syslog al área de trabajo.
En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.
Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.
En General, seleccione Registros.
Cierre la página Consultas para que aparezca la pestaña Nueva consulta.
Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Limpieza de recursos
Evalúe si necesita los recursos como la máquina virtual que ha creado. Los recursos que deje en ejecución pueden suponer costos. Elimine los recursos que no necesite uno a uno. También puede eliminar el grupo de recursos para eliminar todos los recursos que ha creado.
Pasos siguientes
Más información sobre: