Tutorial: Encaminhar dados do Syslog para um espaço de trabalho do Log Analytics com o Microsoft Sentinel usando o Azure Monitor Agent

Neste tutorial, você configura uma máquina virtual (VM) Linux para encaminhar dados Syslog para seu espaço de trabalho usando o Azure Monitor Agent. Essas etapas permitem que você colete e monitore dados de dispositivos baseados em Linux nos quais você não pode instalar um agente como um dispositivo de rede de firewall.

Configure seu dispositivo baseado em Linux para enviar dados para uma VM Linux. O Agente do Azure Monitor na VM encaminha os dados do Syslog para o espaço de trabalho do Log Analytics. Em seguida, use o Microsoft Sentinel ou o Azure Monitor para monitorar o dispositivo a partir dos dados armazenados no espaço de trabalho do Log Analytics.

Neste tutorial, irá aprender a:

• Criar uma regra de recolha de dados.
• Verifique se o Azure Monitor Agent está em execução.
• Habilite a receção de log na porta 514.
• Verifique se os dados do Syslog são encaminhados para o espaço de trabalho do Log Analytics.

Pré-requisitos

Para concluir as etapas neste tutorial, você deve ter os seguintes recursos e funções:

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Uma conta do Azure com as seguintes funções para implantar o agente e criar as regras de coleta de dados.

  Função incorporada	Âmbito	Razão
  - Contribuidor - de Máquina Virtual Azure Connected Machine Resource Administrator	- Máquinas virtuais- Conjuntos de escala- Servidores habilitados para Azure Arc	Para implantar o agente
  Qualquer função que inclua a ação Microsoft.Resources/deployments/*	- Subscrição - Grupo de recursos - Regra de recolha de dados existente	Para implantar modelos do Azure Resource Manager
  Colaborador de Monitoramento	- Subscrição - Grupo de recursos - Regra de recolha de dados existente	Para criar ou editar regras de coleta de dados

• Uma área de trabalho do Log Analytics.

• Um servidor Linux que está executando um sistema operacional que dá suporte ao Azure Monitor Agent.

  • Sistemas operacionais Linux com suporte para o Azure Monitor Agent.
  • Crie uma VM Linux no portal do Azure ou adicione um servidor Linux local ao Azure Arc.

• Um dispositivo baseado em Linux que gera dados de log de eventos como um dispositivo de rede de firewall.

Criar uma regra de coleta de dados

Consulte as instruções passo a passo em Criar uma regra de coleta de dados.

Verifique se o Azure Monitor Agent está em execução

No Microsoft Sentinel ou no Azure Monitor, verifique se o Azure Monitor Agent está em execução na sua VM.

1. No portal do Azure, procure e abra o Microsoft Sentinel ou o Azure Monitor.

2. Se você estiver usando o Microsoft Sentinel, selecione o espaço de trabalho apropriado.

3. Em Geral, selecione Registos.

4. Feche a página Consultas para que a guia Nova Consulta seja exibida.

5. Execute a seguinte consulta onde você substitui o valor do computador pelo nome da sua VM Linux.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

Ativar a receção de log na porta 514

Verifique se a VM que está coletando os dados de log permite a receção na porta 514 TCP ou UDP, dependendo da origem do Syslog. Em seguida, configure o daemon Linux Syslog integrado na VM para ouvir mensagens Syslog de seus dispositivos. Depois de concluir essas etapas, configure seu dispositivo baseado em Linux para enviar logs para sua VM.

As duas seções a seguir abordam como adicionar uma regra de porta de entrada para uma VM do Azure e configurar o daemon Linux Syslog interno.

Permitir tráfego Syslog de entrada na VM

Se você estiver encaminhando dados do Syslog para uma VM do Azure, siga estas etapas para permitir a receção na porta 514.

1. No portal do Azure, procure e selecione Máquinas Virtuais.

2. Selecione a VM.

3. Em Configurações, selecione Rede.

4. Selecione Adicionar regra de porta de entrada.

5. Introduza os seguintes valores.

   Campo	Value
   Intervalos de portas de destino	514
   Protocolo	TCP ou UDP, dependendo da origem do Syslog
   Ação	Permitir
   Nome	AllowSyslogInbound

   Utilize os valores predefinidos para os restantes campos.

6. Selecione Adicionar.

Configurar o daemon Linux Syslog

Conecte-se à sua VM Linux e execute o seguinte comando para configurar o daemon Linux Syslog:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Esse script pode fazer alterações para rsyslog.d e syslog-ng.

Nota

Para evitar cenários de disco completo em que o agente não pode funcionar, recomendamos que você defina a syslog-ng configuração ou rsyslog para não armazenar logs desnecessários. Um cenário de Disco Completo interrompe a função do Agente do Azure Monitor instalado. Leia mais sobre rsyslog ou syslog-ng.

Verifique se os dados do Syslog foram encaminhados para o espaço de trabalho do Log Analytics

Depois de configurar seu dispositivo baseado em Linux para enviar logs para sua VM, verifique se o Azure Monitor Agent está encaminhando dados Syslog para seu espaço de trabalho.

1. No portal do Azure, procure e abra o Microsoft Sentinel ou o Azure Monitor.

2. Se você estiver usando o Microsoft Sentinel, selecione o espaço de trabalho apropriado.

3. Em Geral, selecione Registos.

4. Feche a página Consultas para que a guia Nova Consulta seja exibida.

5. Execute a seguinte consulta onde você substitui o valor do computador pelo nome da sua VM Linux.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

Clean up resources (Limpar recursos)

Avalie se você precisa dos recursos como a VM que você criou. Os recursos que você deixa funcionando podem custar dinheiro. Exclua os recursos de que não precisa individualmente. Você também pode excluir o grupo de recursos para excluir todos os recursos criados.

Conteúdos relacionados

• Regras de coleta de dados no Azure Monitor
• Coletar eventos do Syslog com o Azure Monitor Agent