Syslog-gegevens bronnen in Azure MonitorSyslog data sources in Azure Monitor

Syslog is een protocol voor gebeurtenis registratie dat algemeen is voor Linux.Syslog is an event logging protocol that is common to Linux. Toepassingen zullen berichten verzenden die kunnen worden opgeslagen op de lokale computer of worden geleverd aan een syslog-Collector.Applications will send messages that may be stored on the local machine or delivered to a Syslog collector. Wanneer de Log Analytics-agent voor Linux is geïnstalleerd, wordt de lokale syslog-daemon geconfigureerd voor het door sturen van berichten naar de agent.When the Log Analytics agent for Linux is installed, it configures the local Syslog daemon to forward messages to the agent. De agent verzendt het bericht vervolgens naar Azure Monitor waar een corresponderende record wordt gemaakt.The agent then sends the message to Azure Monitor where a corresponding record is created.

Notitie

Azure Monitor ondersteunt het verzamelen van berichten die worden verzonden door rsyslog of syslog-ng, waarbij rsyslog de standaard-daemon is.Azure Monitor supports collection of messages sent by rsyslog or syslog-ng, where rsyslog is the default daemon. De standaard syslog-daemon op versie 5 van Red Hat Enterprise Linux, CentOS en Oracle Linux versie (sysklog) wordt niet ondersteund voor de verzameling syslog-gebeurtenissen.The default syslog daemon on version 5 of Red Hat Enterprise Linux, CentOS, and Oracle Linux version (sysklog) is not supported for syslog event collection. Als u syslog-gegevens uit deze versie van deze distributies wilt verzamelen, moet de rsyslog-daemon worden geïnstalleerd en geconfigureerd om sysklog te vervangen.To collect syslog data from this version of these distributions, the rsyslog daemon should be installed and configured to replace sysklog.

Syslog-verzameling

De volgende faciliteiten worden ondersteund met de syslog-Collector:The following facilities are supported with the Syslog collector:

  • spatiërenkern
  • Gebruikeruser
  • mailmail
  • daemondaemon
  • dienstauth
  • syslogsyslog
  • beschikkenlpr
  • Nieuwenews
  • uucpuucp
  • croncron
  • authprivauthpriv
  • viaftp
  • local0-local7local0-local7

Voor elke andere faciliteit configureert u een gegevens bron met aangepaste logboeken in azure monitor.For any other facility, configure a Custom Logs data source in Azure Monitor.

Syslog configurerenConfiguring Syslog

In de Log Analytics-agent voor Linux worden alleen gebeurtenissen verzameld met de faciliteiten en ernst die zijn opgegeven in de configuratie.The Log Analytics agent for Linux will only collect events with the facilities and severities that are specified in its configuration. U kunt syslog configureren via de Azure Portal of door configuratie bestanden te beheren in uw Linux-agents.You can configure Syslog through the Azure portal or by managing configuration files on your Linux agents.

Syslog configureren in de Azure PortalConfigure Syslog in the Azure portal

Configureer syslog vanuit het menu Data in geavanceerde instellingen.Configure Syslog from the Data menu in Advanced Settings. Deze configuratie wordt op elke Linux-agent bezorgd bij het configuratie bestand.This configuration is delivered to the configuration file on each Linux agent.

U kunt een nieuwe faciliteit toevoegen door de naam ervan te typen en op + te klikken.You can add a new facility by typing in its name and clicking +. Voor elke faciliteit worden alleen berichten met de geselecteerde Ernst verzameld.For each facility, only messages with the selected severities will be collected. Controleer de ernst van de specifieke faciliteit die u wilt verzamelen.Check the severities for the particular facility that you want to collect. U kunt geen aanvullende criteria opgeven om berichten te filteren.You cannot provide any additional criteria to filter messages.

Syslog configureren

Standaard worden alle configuratie wijzigingen automatisch naar alle agents gepusht.By default, all configuration changes are automatically pushed to all agents. Als u syslog hand matig op elke Linux-agent wilt configureren, schakelt u het selectie vakje de onderstaande configuratie Toep assen op mijn machinesuit.If you want to configure Syslog manually on each Linux agent, then uncheck the box Apply below configuration to my machines.

Syslog op Linux-agent configurerenConfigure Syslog on Linux agent

Wanneer de log Analytics-agent is geïnstalleerd op een Linux-client, wordt een standaard-syslog-configuratie bestand geïnstalleerd waarmee de faciliteit en ernst van de verzamelde berichten worden gedefinieerd.When the Log Analytics agent is installed on a Linux client, it installs a default syslog configuration file that defines the facility and severity of the messages that are collected. U kunt dit bestand wijzigen om de configuratie te wijzigen.You can modify this file to change the configuration. Het configuratie bestand verschilt, afhankelijk van de syslog-daemon die de-client heeft geïnstalleerd.The configuration file is different depending on the Syslog daemon that the client has installed.

Notitie

Als u de syslog-configuratie bewerkt, moet u de syslog-daemon opnieuw opstarten om de wijzigingen van kracht te laten worden.If you edit the syslog configuration, you must restart the syslog daemon for the changes to take effect.

rsyslogrsyslog

Het configuratie bestand voor rsyslog bevindt zich op /etc/rsyslog.d/95-omsagent.conf.The configuration file for rsyslog is located at /etc/rsyslog.d/95-omsagent.conf. De standaard inhoud wordt hieronder weer gegeven.Its default contents are shown below. Hiermee worden syslog-berichten verzameld die zijn verzonden vanuit de lokale agent voor alle faciliteiten met een waarschuwings niveau of hoger.This collects syslog messages sent from the local agent for all facilities with a level of warning or higher.

kern.warning       @127.0.0.1:25224
user.warning       @127.0.0.1:25224
daemon.warning     @127.0.0.1:25224
auth.warning       @127.0.0.1:25224
syslog.warning     @127.0.0.1:25224
uucp.warning       @127.0.0.1:25224
authpriv.warning   @127.0.0.1:25224
ftp.warning        @127.0.0.1:25224
cron.warning       @127.0.0.1:25224
local0.warning     @127.0.0.1:25224
local1.warning     @127.0.0.1:25224
local2.warning     @127.0.0.1:25224
local3.warning     @127.0.0.1:25224
local4.warning     @127.0.0.1:25224
local5.warning     @127.0.0.1:25224
local6.warning     @127.0.0.1:25224
local7.warning     @127.0.0.1:25224

U kunt een faciliteit verwijderen door de sectie van het configuratie bestand te verwijderen.You can remove a facility by removing its section of the configuration file. U kunt de ernst die voor een bepaalde faciliteit worden verzameld, beperken door de vermelding van die faciliteit te wijzigen.You can limit the severities that are collected for a particular facility by modifying that facility's entry. Als u bijvoorbeeld de gebruikers faciliteit wilt beperken tot berichten met een Ernst fout of hoger, wijzigt u de regel van het configuratie bestand als volgt:For example, to limit the user facility to messages with a severity of error or higher you would modify that line of the configuration file to the following:

user.error    @127.0.0.1:25224

syslog-aardgassyslog-ng

Het configuratie bestand voor syslog-aardgas is locatie op /etc/syslog-ng/syslog-ng.conf.The configuration file for syslog-ng is location at /etc/syslog-ng/syslog-ng.conf. De standaard inhoud wordt hieronder weer gegeven.Its default contents are shown below. Hiermee worden syslog-berichten verzameld die zijn verzonden vanuit de lokale agent voor alle faciliteiten en alle ernst.This collects syslog messages sent from the local agent for all facilities and all severities.

#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };

#OMS_Destination
destination d_oms { udp("127.0.0.1" port(25224)); };

#OMS_facility = auth
filter f_auth_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(auth); };
log { source(src); filter(f_auth_oms); destination(d_oms); };

#OMS_facility = authpriv
filter f_authpriv_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(authpriv); };
log { source(src); filter(f_authpriv_oms); destination(d_oms); };

#OMS_facility = cron
filter f_cron_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(cron); };
log { source(src); filter(f_cron_oms); destination(d_oms); };

#OMS_facility = daemon
filter f_daemon_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(daemon); };
log { source(src); filter(f_daemon_oms); destination(d_oms); };

#OMS_facility = kern
filter f_kern_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(kern); };
log { source(src); filter(f_kern_oms); destination(d_oms); };

#OMS_facility = local0
filter f_local0_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local0); };
log { source(src); filter(f_local0_oms); destination(d_oms); };

#OMS_facility = local1
filter f_local1_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(local1); };
log { source(src); filter(f_local1_oms); destination(d_oms); };

#OMS_facility = mail
filter f_mail_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(mail); };
log { source(src); filter(f_mail_oms); destination(d_oms); };

#OMS_facility = syslog
filter f_syslog_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(syslog); };
log { source(src); filter(f_syslog_oms); destination(d_oms); };

#OMS_facility = user
filter f_user_oms { level(alert,crit,debug,emerg,err,info,notice,warning) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };

U kunt een faciliteit verwijderen door de sectie van het configuratie bestand te verwijderen.You can remove a facility by removing its section of the configuration file. U kunt de ernst van een bepaalde faciliteit beperken door deze te verwijderen uit de lijst.You can limit the severities that are collected for a particular facility by removing them from its list. Als u bijvoorbeeld wilt beperken dat de gebruikers faciliteit alleen waarschuwingen en kritieke berichten ontvangt, wijzigt u deze sectie van het configuratie bestand in het volgende:For example, to limit the user facility to just alert and critical messages, you would modify that section of the configuration file to the following:

#OMS_facility = user
filter f_user_oms { level(alert,crit) and facility(user); };
log { source(src); filter(f_user_oms); destination(d_oms); };

Gegevens verzamelen uit extra syslog-poortenCollecting data from additional Syslog ports

De Log Analytics-agent luistert naar syslog-berichten op de lokale client op poort 25224.The Log Analytics agent listens for Syslog messages on the local client on port 25224. Wanneer de agent is geïnstalleerd, wordt een standaard syslog-configuratie toegepast en gevonden op de volgende locatie:When the agent is installed, a default syslog configuration is applied and found in the following location:

  • Rsyslog: /etc/rsyslog.d/95-omsagent.confRsyslog: /etc/rsyslog.d/95-omsagent.conf
  • Syslog-aardgas: /etc/syslog-ng/syslog-ng.confSyslog-ng: /etc/syslog-ng/syslog-ng.conf

U kunt het poort nummer wijzigen door twee configuratie bestanden te maken: een gevloeiendeerd configuratie bestand en een rsyslog-of-syslog-aardgas-bestand, afhankelijk van de syslog-daemon die u hebt geïnstalleerd.You can change the port number by creating two configuration files: a FluentD config file and a rsyslog-or-syslog-ng file depending on the Syslog daemon you have installed.

  • Het gefluente configuratie bestand moet een nieuw bestand zijn dat zich bevindt in: /etc/opt/microsoft/omsagent/conf/omsagent.d en vervang de waarde in de poort vermelding door uw aangepaste poort nummer.The FluentD config file should be a new file located in: /etc/opt/microsoft/omsagent/conf/omsagent.d and replace the value in the port entry with your custom port number.

      <source>
        type syslog
        port %SYSLOG_PORT%
        bind 127.0.0.1
        protocol_type udp
        tag oms.syslog
      </source>
      <filter oms.syslog.**>
        type filter_syslog
      </filter>
    
  • Voor rsyslog moet u een nieuw configuratie bestand maken in: /etc/rsyslog.d/ en de waarde% SYSLOG_PORT% vervangen door uw aangepaste poort nummer.For rsyslog, you should create a new configuration file located in: /etc/rsyslog.d/ and replace the value %SYSLOG_PORT% with your custom port number.

    Notitie

    Als u deze waarde wijzigt in het configuratie bestand 95-omsagent.conf, wordt deze overschreven wanneer de agent een standaard configuratie toepast.If you modify this value in the configuration file 95-omsagent.conf, it will be overwritten when the agent applies a default configuration.

      # OMS Syslog collection for workspace %WORKSPACE_ID%
      kern.warning              @127.0.0.1:%SYSLOG_PORT%
      user.warning              @127.0.0.1:%SYSLOG_PORT%
      daemon.warning            @127.0.0.1:%SYSLOG_PORT%
      auth.warning              @127.0.0.1:%SYSLOG_PORT%
    
  • Het syslog-ng-config moet worden gewijzigd door de hieronder weer gegeven voorbeeld configuratie te kopiëren en de aangepaste gewijzigde instellingen toe te voegen aan het einde van het syslog-ng. conf-configuratie bestand dat zich in /etc/syslog-ng/bevindt.The syslog-ng config should be modified by copying the example configuration shown below and adding the custom modified settings to the end of the syslog-ng.conf configuration file located in /etc/syslog-ng/. Gebruik niet het standaard label % WORKSPACE_ID% _Oms of % WORKSPACE_ID_OMS, Definieer een aangepast label om uw wijzigingen te onderscheiden.Do not use the default label %WORKSPACE_ID%_oms or %WORKSPACE_ID_OMS, define a custom label to help distinguish your changes.

    Notitie

    Als u de standaard waarden in het configuratie bestand wijzigt, worden deze overschreven wanneer de agent een standaard configuratie toepast.If you modify the default values in the configuration file, they will be overwritten when the agent applies a default configuration.

      filter f_custom_filter { level(warning) and facility(auth; };
      destination d_custom_dest { udp("127.0.0.1" port(%SYSLOG_PORT%)); };
      log { source(s_src); filter(f_custom_filter); destination(d_custom_dest); };
    

Nadat de wijzigingen zijn voltooid, moet de syslog en de Log Analytics Agent-service opnieuw worden gestart om ervoor te zorgen dat de configuratie wijzigingen van kracht worden.After completing the changes, the Syslog and the Log Analytics agent service needs to be restarted to ensure the configuration changes take effect.

Eigenschappen van syslog-recordSyslog record properties

Syslog-records hebben het type syslog en hebben de eigenschappen in de volgende tabel.Syslog records have a type of Syslog and have the properties in the following table.

EigenschapProperty BeschrijvingDescription
ComputerComputer Computer waarop de gebeurtenis is verzameld.Computer that the event was collected from.
MogelijkheidFacility Hiermee definieert u het deel van het systeem dat het bericht heeft gegenereerd.Defines the part of the system that generated the message.
HostIPHostIP Het IP-adres van het systeem dat het bericht verzendt.IP address of the system sending the message.
HostnaamHostName De naam van het systeem dat het bericht verzendt.Name of the system sending the message.
SeverityLevelSeverityLevel Het Ernst niveau van de gebeurtenis.Severity level of the event.
SyslogMessageSyslogMessage De tekst van het bericht.Text of the message.
ProcessIDProcessID De ID van het proces dat het bericht heeft gegenereerd.ID of the process that generated the message.
eventTimeEventTime De datum en tijd waarop de gebeurtenis is gegenereerd.Date and time that the event was generated.

Query's registreren met syslog-recordsLog queries with Syslog records

De volgende tabel bevat verschillende voor beelden van logboek query's waarmee syslog-records worden opgehaald.The following table provides different examples of log queries that retrieve Syslog records.

QueryQuery BeschrijvingDescription
SyslogSyslog Alle syslogs.All Syslogs.
Syslog | waarbij SeverityLevel = = "Error"Syslog | where SeverityLevel == "error" Alle syslog-records met de ernst van de fout.All Syslog records with severity of error.
Syslog | samenvatten AggregatedValue = Count () per computerSyslog | summarize AggregatedValue = count() by Computer Aantal syslog-records per computer.Count of Syslog records by computer.
Syslog | samenvatten AggregatedValue = Count () per faciliteitSyslog | summarize AggregatedValue = count() by Facility Aantal syslog-records per faciliteit.Count of Syslog records by facility.

Volgende stappenNext steps

  • Meer informatie over logboek query's voor het analyseren van de gegevens die zijn verzameld uit gegevens bronnen en oplossingen.Learn about log queries to analyze the data collected from data sources and solutions.
  • Gebruik aangepaste velden voor het parseren van gegevens van syslog-records in afzonderlijke velden.Use Custom Fields to parse data from syslog records into individual fields.
  • Configureer Linux-agents om andere typen gegevens te verzamelen.Configure Linux agents to collect other types of data.