Origini dati Syslog in Log AnalyticsSyslog data sources in Log Analytics

Syslog è un protocollo di registrazione di eventi comunemente usato in Linux.Syslog is an event logging protocol that is common to Linux. Le applicazioni inviano messaggi che possono essere archiviati nel computer locale o recapitati a un agente di raccolta di Syslog.Applications will send messages that may be stored on the local machine or delivered to a Syslog collector. Quando viene installato, l'agente OMS per Linux configura il daemon Syslog locale in modo da inoltrare i messaggi all'agente.When the OMS Agent for Linux is installed, it configures the local Syslog daemon to forward messages to the agent. Quest'ultimo invia quindi il messaggio a Log Analytics, dove viene creato un record corrispondente nel repository OMS.The agent then sends the message to Log Analytics where a corresponding record is created in the OMS repository.

Nota

Log Analytics supporta la raccolta di messaggi inviati da rsyslog o syslog-ng, dove rsyslog rappresenta il daemon predefinito.Log Analytics supports collection of messages sent by rsyslog or syslog-ng, where rsyslog is the default daemon. Il daemon SysLog predefinito nella versione 5 di Red Hat Enterprise Linux, CentOS e nella versione Oracle Linux (sysklog) non è supportato per la raccolta di eventi SysLog.The default syslog daemon on version 5 of Red Hat Enterprise Linux, CentOS, and Oracle Linux version (sysklog) is not supported for syslog event collection. Per raccogliere i dati di SysLog da questa versione delle distribuzioni, è necessario installare e configurare il daemon rsyslog in modo da sostituire sysklog.To collect syslog data from this version of these distributions, the rsyslog daemon should be installed and configured to replace sysklog.

Raccolta Syslog

Configurazione di SyslogConfiguring Syslog

L'agente OMS per Linux raccoglie solo gli eventi con le funzionalità e i livelli di gravità specificati nella configurazione.The OMS Agent for Linux will only collect events with the facilities and severities that are specified in its configuration. È possibile configurare Syslog tramite il portale di OMS o mediante la gestione dei file di configurazione sugli agenti Linux.You can configure Syslog through the OMS portal or by managing configuration files on your Linux agents.

Configurare Syslog nel portale di OMSConfigure Syslog in the OMS portal

Configurare Syslog usando il menu Dati in Impostazioni di Log Analytics.Configure Syslog from the Data menu in Log Analytics Settings. Questa configurazione viene distribuita al file di configurazione su ogni agente Linux.This configuration is delivered to the configuration file on each Linux agent.

È possibile aggiungere una nuova funzionalità digitando il nome corrispondente e facendo clic su +.You can add a new facility by typing in its name and clicking +. Per ogni funzionalità vengono raccolti solo i messaggi con i livelli di gravità selezionati.For each facility, only messages with the selected severities will be collected. Controllare i livelli di gravità relativi alla funzionalità per la quale si vuole raccogliere i dati.Check the severities for the particular facility that you want to collect. Non è possibile specificare altri criteri per filtrare i messaggi.You cannot provide any additional criteria to filter messages.

Configurare Syslog

Per impostazione predefinita, viene eseguito automaticamente il push di tutte le modifiche di configurazione in tutti gli agenti.By default, all configuration changes are automatically pushed to all agents. Per configurare Syslog manualmente su ogni agente Linux, deselezionare la casella Apply below configuration to my Linux machines(Applica la configurazione seguente ai computer Linux in uso).If you want to configure Syslog manually on each Linux agent, then uncheck the box Apply below configuration to my Linux machines.

Configurare Syslog sull'agente LinuxConfigure Syslog on Linux agent

Durante l' installazione dell'agente OMS in un client Linux, viene installato un file di configurazione syslog predefinito che definisce la funzionalità e il livello di gravità dei messaggi raccolti.When the OMS agent is installed on a Linux client, it installs a default syslog configuration file that defines the facility and severity of the messages that are collected. È possibile modificare questo file per cambiare la configurazione.You can modify this file to change the configuration. Il file di configurazione è diverso a seconda del daemon Syslog installato nel client.The configuration file is different depending on the Syslog daemon that the client has installed.

Nota

Se si modifica la configurazione di SysLog, è necessario riavviare il daemon SysLog per rendere effettive le modifiche.If you edit the syslog configuration, you must restart the syslog daemon for the changes to take effect.

rsyslogrsyslog

Il file di configurazione per rsyslog si trova in /etc/rsyslog.d/95-omsagent.conf.The configuration file for rsyslog is located at /etc/rsyslog.d/95-omsagent.conf. I contenuti predefiniti sono visualizzati di seguito.Its default contents are shown below. Questo daemon raccoglie i messaggi syslog inviati dall'agente locale per tutte le funzionalità con livello di gravità avviso o superiore.This collects syslog messages sent from the local agent for all facilities with a level of warning or higher.

kern.warning       @127.0.0.1:25224
user.warning       @127.0.0.1:25224
daemon.warning     @127.0.0.1:25224
auth.warning       @127.0.0.1:25224
syslog.warning     @127.0.0.1:25224
uucp.warning       @127.0.0.1:25224
authpriv.warning   @127.0.0.1:25224
ftp.warning        @127.0.0.1:25224
cron.warning       @127.0.0.1:25224
local0.warning     @127.0.0.1:25224
local1.warning     @127.0.0.1:25224
local2.warning     @127.0.0.1:25224
local3.warning     @127.0.0.1:25224
local4.warning     @127.0.0.1:25224
local5.warning     @127.0.0.1:25224
local6.warning     @127.0.0.1:25224
local7.warning     @127.0.0.1:25224

È possibile rimuovere una funzionalità eliminando la sezione corrispondente del file di configurazione.You can remove a facility by removing its section of the configuration file. È possibile limitare i livelli di gravità che vengono raccolti per una particolare funzionalità modificando la voce relativa a tale funzionalità.You can limit the severities that are collected for a particular facility by modifying that facility's entry. Ad esempio, per limitare la funzionalità utente ai messaggi con livello di gravità errore o superiore, modificare la riga del file di configurazione nel modo seguente:For example, to limit the user facility to messages with a severity of error or higher you would modify that line of the configuration file to the following:

user.error    @127.0.0.1:25224

syslog-ngsyslog-ng

Il file di configurazione per syslog-ng si trova in /etc/syslog-ng/syslog-ng.conf.The configuration file for syslog-ng is location at /etc/syslog-ng/syslog-ng.conf. I contenuti predefiniti sono visualizzati di seguito.Its default contents are shown below. Questo daemon raccoglie i messaggi syslog inviati dall'agente locale per tutte le funzionalità e tutti i livelli di gravità.This collects syslog messages sent from the local agent for all facilities and all severities.

#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };

#OMS_Destination
destination d_oms { udp("127.0.0.1" port(25224)); };

#OMS_facility = auth
filter f_auth_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(auth); };
log { source(src); filter(f_auth_oms); destination(d_oms); };

#OMS_facility = authpriv
filter f_authpriv_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(authpriv); };
log { source(src); filter(f_authpriv_oms); destination(d_oms); };

#OMS_facility = cron
filter f_cron_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(cron); };
log { source(src); filter(f_cron_oms); destination(d_oms); };

#OMS_facility = daemon
filter f_daemon_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(daemon); };
log { source(src); filter(f_daemon_oms); destination(d_oms); };

#OMS_facility = kern
filter f_kern_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(kern); };
log { source(src); filter(f_kern_oms); destination(d_oms); };

#OMS_facility = local0
filter f_local0_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local0); };
log { source(src); filter(f_local0_oms); destination(d_oms); };

#OMS_facility = local1
filter f_local1_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local1); };
log { source(src); filter(f_local1_oms); destination(d_oms); };

#OMS_facility = mail
filter f_mail_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(mail); };
log { source(src); filter(f_mail_oms); destination(d_oms); };

#OMS_facility = syslog
filter f_syslog_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(syslog); };
log { source(src); filter(f_syslog_oms); destination(d_oms); };

#OMS_facility = user
filter f_user_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };

È possibile rimuovere una funzionalità eliminando la sezione corrispondente del file di configurazione.You can remove a facility by removing its section of the configuration file. È possibile limitare i livelli di gravità che vengono raccolti per una particolare funzionalità rimuovendoli dall'elenco.You can limit the severities that are collected for a particular facility by removing them from its list. Per limitare la funzionalità utente ai messaggi di avviso e critici, modificare la sezione del file di configurazione nel modo seguente:For example, to limit the user facility to just alert and critical messages, you would modify that section of the configuration file to the following:

#OMS_facility = user
filter f_user_oms { level(alert,crit) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };

Raccolta dei dati da altre porte SyslogCollecting data from additional Syslog ports

L'agente OMS rimane in ascolto dei messaggi Syslog nel client locale sulla porta 25224.The OMS agent listens for Syslog messages on the local client on port 25224. Quando l'agente viene installato, viene applicata una configurazione di SysLog predefinita, disponibile nella posizione seguente:When the agent is installed, a default syslog configuration is applied and found in the following location:

  • Rsyslog: /etc/rsyslog.d/95-omsagent.confRsyslog: /etc/rsyslog.d/95-omsagent.conf
  • Syslog-ng: /etc/syslog-ng/syslog-ng.confSyslog-ng: /etc/syslog-ng/syslog-ng.conf

È possibile modificare il numero di porta creando due file di configurazione: un file config FluentD e un file rsyslog-or-syslog-ng a seconda del daemon Syslog che è stato installato.You can change the port number by creating two configuration files: a FluentD config file and a rsyslog-or-syslog-ng file depending on the Syslog daemon you have installed.

  • Il file config FluentD deve essere un nuovo file in: /etc/opt/microsoft/omsagent/conf/omsagent.d. Sostituire il valore della porta con il numero di porta personalizzato.The FluentD config file should be a new file located in: /etc/opt/microsoft/omsagent/conf/omsagent.d and replace the value in the port entry with your custom port number.

      <source>
        type syslog
        port %SYSLOG_PORT%
        bind 127.0.0.1
        protocol_type udp
        tag oms.syslog
      </source>
      <filter oms.syslog.**>
        type filter_syslog
      </filter>
    
  • Per rsyslog, creare un nuovo file di configurazione in: /etc/rsyslog.d/. Sostituire il valore %SYSLOG_PORT% con il numero di porta personalizzato.For rsyslog, you should create a new configuration file located in: /etc/rsyslog.d/ and replace the value %SYSLOG_PORT% with your custom port number.

    Nota

    Se questo valore viene modificato nel file di configurazione 95-omsagent.conf, verrà sovrascritto quando l'agente applicherà una configurazione predefinita.If you modify this value in the configuration file 95-omsagent.conf, it will be overwritten when the agent applies a default configuration.

      # OMS Syslog collection for workspace %WORKSPACE_ID%
      kern.warning              @127.0.0.1:%SYSLOG_PORT%
      user.warning              @127.0.0.1:%SYSLOG_PORT%
      daemon.warning            @127.0.0.1:%SYSLOG_PORT%
      auth.warning              @127.0.0.1:%SYSLOG_PORT%
    
  • Modificare la configurazione syslog-ng copiando la configurazione di esempio illustrata di seguito e aggiungendo le impostazioni modificate personalizzate alla fine del file di configurazione syslog-ng.conf in /etc/syslog-ng/.The syslog-ng config should be modified by copying the example configuration shown below and adding the custom modified settings to the end of the syslog-ng.conf configuration file located in /etc/syslog-ng/. Non usare l'etichetta predefinita %WORKSPACE_ID%_oms o %WORKSPACE_ID_OMS. Definire un'etichetta personalizzata per distinguere le modifiche.Do not use the default label %WORKSPACE_ID%_oms or %WORKSPACE_ID_OMS, define a custom label to help distinguish your changes.

    Nota

    Se questi valori vengono modificati nel file di configurazione, verranno sovrascritti quando l'agente applicherà una configurazione predefinita.If you modify the default values in the configuration file, they will be overwritten when the agent applies a default configuration.

      filter f_custom_filter { level(warning) and facility(auth; };
      destination d_custom_dest { udp("127.0.0.1" port(%SYSLOG_PORT%)); };
      log { source(s_src); filter(f_custom_filter); destination(d_custom_dest); };
    

Dopo aver completato le modifiche, riavviare Syslog e il servizio agente OMS per assicurarsi che le modifiche apportate alla configurazione abbiano effetto.After completing the changes, the Syslog and the OMS agent service needs to be restarted to ensure the configuration changes take effect.

Proprietà dei record SyslogSyslog record properties

I record Syslog sono di tipo Syslog e hanno le proprietà descritte nella tabella seguente.Syslog records have a type of Syslog and have the properties in the following table.

ProprietàProperty DescrizioneDescription
ComputerComputer Computer da cui è stato raccolto l'evento.Computer that the event was collected from.
FacilityFacility Parte del sistema che ha generato il messaggio.Defines the part of the system that generated the message.
HostIPHostIP Indirizzo IP del sistema che ha inviato il messaggio.IP address of the system sending the message.
HostNameHostName Nome del sistema che ha inviato il messaggio.Name of the system sending the message.
SeverityLevelSeverityLevel Livello di gravità dell'evento.Severity level of the event.
SyslogMessageSyslogMessage Testo del messaggio.Text of the message.
ProcessIDProcessID ID del processo che ha generato il messaggio.ID of the process that generated the message.
EventTimeEventTime Data e ora in cui è stato generato l'evento.Date and time that the event was generated.

Query di log con record SyslogLog queries with Syslog records

La tabella seguente mostra alcuni esempi di query di log che recuperano i record Syslog.The following table provides different examples of log queries that retrieve Syslog records.

QueryQuery DescrizioneDescription
syslogSyslog Tutti i record Syslog.All Syslogs.
Syslog | where SeverityLevel == "error"Syslog | where SeverityLevel == "error" Tutti i record Syslog con livello di gravità errore.All Syslog records with severity of error.
Syslog | summarize AggregatedValue = count() by ComputerSyslog | summarize AggregatedValue = count() by Computer Numero di record Syslog per computer.Count of Syslog records by computer.
Syslog | summarize AggregatedValue = count() by FacilitySyslog | summarize AggregatedValue = count() by Facility Numero di record Syslog per funzionalità.Count of Syslog records by facility.

Passaggi successiviNext steps