Oktatóanyag: Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával
Ebben az oktatóanyagban egy Linux rendszerű virtuális gépet (VM) konfigurál a Syslog-adatok a munkaterületre való továbbításához az Azure Monitor Agent használatával. Ezekkel a lépésekkel olyan Linux-alapú eszközökről gyűjthet és figyelhet adatokat, amelyeken nem telepíthet ügynököt, például tűzfalhálózati eszközt.
Konfigurálja a Linux-alapú eszközt úgy, hogy adatokat küldjön egy Linux rendszerű virtuális gépre. A virtuális gépen futó Azure Monitor-ügynök továbbítja a Syslog-adatokat a Log Analytics-munkaterületre. Ezután a Microsoft Sentinel vagy az Azure Monitor használatával monitorozza az eszközt a Log Analytics-munkaterületen tárolt adatokból.
Eben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Adatgyűjtési szabály létrehozása.
- Ellenőrizze, hogy fut-e az Azure Monitor-ügynök.
- Naplófogadás engedélyezése az 514-ös porton.
- Ellenőrizze, hogy a Rendszernapló-adatok továbbítva lesznek-e a Log Analytics-munkaterületre.
Előfeltételek
Az oktatóanyag lépéseinek elvégzéséhez a következő erőforrásokkal és szerepkörökvel kell rendelkeznie:
Egy Azure-fiók, aktív előfizetéssel. Hozzon létre ingyenes fiókot.
Az ügynök üzembe helyezéséhez és az adatgyűjtési szabályok létrehozásához az alábbi szerepkörökkel rendelkező Azure-fiók.
Beépített szerepkör Hatókör Ok - Virtuálisgép-közreműködő
- Azure-beli csatlakoztatott gép erőforrás-rendszergazdája- Virtuális gépek
– Méretezési csoportok
– Azure Arc-kompatibilis kiszolgálókAz ügynök üzembe helyezése Minden olyan szerepkör, amely tartalmazza a Microsoft.Resources/deployments/* műveletet - Előfizetés
– Erőforráscsoport
– Meglévő adatgyűjtési szabályAzure Resource Manager-sablonok üzembe helyezése Monitorozási közreműködő - Előfizetés
– Erőforráscsoport
– Meglévő adatgyűjtési szabályAdatgyűjtési szabályok létrehozása vagy szerkesztése Egy Log Analytics-munkaterület.
Az Azure Monitor Agentet támogató operációs rendszert futtató Linux-kiszolgáló.
Linux-alapú eszköz, amely olyan eseménynapló-adatokat hoz létre, mint egy tűzfalhálózati eszköz.
Adatgyűjtési szabály létrehozása
Tekintse meg az adatgyűjtési szabály létrehozása című témakör részletes utasításait.
Ellenőrizze, hogy az Azure Monitor-ügynök fut-e
A Microsoft Sentinelben vagy az Azure Monitorban ellenőrizze, hogy az Azure Monitor Agent fut-e a virtuális gépen.
A Azure Portal keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.
Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.
Az Általános területen válassza a Naplók elemet.
Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.
Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.
Heartbeat | where Computer == "vm-linux" | take 10
Naplófogadás engedélyezése az 514-ös porton
Ellenőrizze, hogy a naplóadatokat gyűjtő virtuális gép engedélyezi-e a fogadást az 514-ös TCP- vagy UDP-porton a Syslog forrásától függően. Ezután konfigurálja a virtuális gépen a beépített Linux Syslog démont, hogy figyelje az eszközökről érkező Syslog-üzeneteket. A lépések elvégzése után konfigurálja a Linux-alapú eszközt úgy, hogy naplókat küldjön a virtuális gépnek.
Az alábbi két szakasz bemutatja, hogyan adhat hozzá bejövő portszabályt egy Azure-beli virtuális géphez, és hogyan konfigurálhatja a beépített Linux Syslog démont.
Bejövő Syslog-forgalom engedélyezése a virtuális gépen
Ha Syslog-adatokat továbbít egy Azure-beli virtuális gépre, az alábbi lépésekkel engedélyezheti a fogadást az 514-ös porton.
A Azure Portal keresse meg és válassza ki a Virtual Machines.
Válassza ki a virtuális gépet.
A Beállítások területen válassza a Hálózat lehetőséget.
Kattintson a Bejövőport-szabály hozzáadása elemre.
Írja be a következő értékeket.
Mező Érték Célporttartományok 514 Protokoll TCP vagy UDP a Syslog forrásától függően Művelet Engedélyezés Name AllowSyslogInbound A többi mezőnél használja az alapértelmezett beállításokat.
Válassza a Hozzáadás lehetőséget.
A Linux Syslog démon konfigurálása
Megjegyzés
A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, javasoljuk, hogy állítsa be a vagy rsyslog a syslog-ng konfigurációt úgy, hogy ne tárolja a felesleges naplókat. A teljes lemezes forgatókönyv megszakítja a telepített Azure Monitor-ügynök működését.
További információ az rsyslog-ról vagy a syslog-ng-ről.
Csatlakozzon a Linux rendszerű virtuális géphez, és futtassa a következő parancsot a Linux Syslog démon konfigurálásához:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Ez a szkript az rsyslog.d és a syslog-ng esetében is végezhet módosításokat.
Annak ellenőrzése, hogy a Rendszernapló adatai továbbítva lesznek-e a Log Analytics-munkaterületre
Miután konfigurálta a Linux-alapú eszközt, hogy naplókat küldjön a virtuális gépnek, ellenőrizze, hogy az Azure Monitor Agent syslog-adatokat továbbít-e a munkaterületre.
A Azure Portal keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.
Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.
Az Általános területen válassza a Naplók elemet.
Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.
Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.
Syslog | where Computer == "vm-linux" | summarize by HostName
Az erőforrások eltávolítása
Értékelje ki, hogy szüksége van-e olyan erőforrásokra, mint a létrehozott virtuális gép. A futtatásból kilépő erőforrások pénzbe kerülhetnek. Törölje a szükségtelen erőforrásokat egyenként. Az erőforráscsoportot az összes létrehozott erőforrás törléséhez is törölheti.
Következő lépések
További információk: