教學課程:使用 Azure 監視器代理程式將 Syslog 數據轉送至具有 Microsoft Sentinel 的 Log Analytics 工作區
在本教學課程中,您會設定 Linux 虛擬機 (VM) 以使用 Azure 監視器代理程式將 Syslog 資料轉送至工作區。 這些步驟可讓您從 Linux 型裝置收集及監視數據,而您無法安裝代理程式,例如防火牆網路裝置。
設定以Linux為基礎的裝置,將數據傳送至Linux VM。 VM 上的 Azure 監視器代理程式會將 Syslog 資料轉送至 Log Analytics 工作區。 然後使用 Microsoft Sentinel 或 Azure 監視器,從 Log Analytics 工作區中儲存的數據監視裝置。
在本教學課程中,您會了解如何:
- 建立資料收集規則。
- 確認 Azure 監視器代理程式正在執行。
- 在埠 514 上啟用記錄接收。
- 確認 Syslog 數據已轉送至 Log Analytics 工作區。
必要條件
若要完成本教學課程中的步驟,您必須具有下列資源和角色:
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
具有下列角色的 Azure 帳戶,可部署代理程式並建立數據收集規則。
內建角色 範圍 原因 - 虛擬機參與者
- Azure 連線 Machine Resource 管理員 istrator- 虛擬機
- 擴展集
- 已啟用 Azure Arc 的伺服器若要部署代理程式 包含動作 Microsoft.Resources/deployments/* 的任何角色 - 訂用
帳戶 - 資源群組
- 現有的數據收集規則部署 Azure Resource Manager 範本 監視參與者 - 訂用
帳戶 - 資源群組
- 現有的數據收集規則建立或編輯數據收集規則 Log Analytics 工作區。
執行支援 Azure 監視器代理程式的作業系統的 Linux 伺服器。
- Azure 監視器代理程序支援的Linux作業系統。
- 在 Azure 入口網站 中建立Linux VM,或將內部部署Linux伺服器新增至 Azure Arc。
以 Linux 為基礎的裝置,其會產生事件記錄檔數據,例如防火牆網路裝置。
建立資料收集規則
請參閱建立數據收集規則中的逐步指示。
確認 Azure 監視器代理程式正在執行
在 Microsoft Sentinel 或 Azure 監視器中,確認 Azure 監視器代理程式正在您的 VM 上執行。
在 Azure 入口網站 中,搜尋並開啟 Microsoft Sentinel 或 Azure 監視器。
如果您使用 Microsoft Sentinel,請選取適當的工作區。
在 [一般] 底下,選取 [記錄檔]。
關閉 [ 查詢] 頁面,讓 [ 新增查詢] 索引標籤出現。
執行下列查詢,其中您將計算機值取代為Linux VM的名稱。
Heartbeat | where Computer == "vm-linux" | take 10
在埠 514 上啟用記錄接收
確認收集記錄數據的 VM 允許根據 Syslog 來源在埠 514 TCP 或 UDP 上進行接收。 然後,在 VM 上設定內建的 Linux Syslog 精靈,以接聽來自您裝置的 Syslog 訊息。 完成這些步驟之後,請設定以 Linux 為基礎的裝置,以將記錄傳送至 VM。
下列兩節將說明如何新增 Azure VM 的輸入埠規則,以及設定內建的 Linux Syslog 精靈。
允許 VM 上的輸入 Syslog 流量
如果您要將 Syslog 數據轉送至 Azure VM,請遵循下列步驟以允許埠 514 上的接收。
在 Azure 入口網站 中,搜尋並選取 [虛擬機器]。
選取 VM。
在 [設定] 底下,選取 [網路]。
選取 [新增輸入連接埠規則]。
輸入下列值。
欄位 值 目的地連接埠範圍 514 通訊協定 根據 Syslog 來源的 TCP 或 UDP 動作 允許 名稱 AllowSyslogInbound 針對其餘欄位,請使用預設值。
選取 [新增]。
設定 Linux Syslog 精靈
連線 Linux VM,然後執行下列命令來設定 Linux Syslog 精靈:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
此腳本可以針對 rsyslog.d 和 syslog-ng 進行變更。
注意
若要避免 代理程式無法運作的完整磁碟案例 ,建議您設定 syslog-ng 或 rsyslog 組態不要儲存不必要的記錄。 完整磁碟案例會中斷已安裝 Azure 監視器代理程式的函式。
深入瞭解 rsyslog 或 syslog-ng。
確認 Syslog 數據已轉送至 Log Analytics 工作區
將 Linux 型裝置設定為將記錄傳送至 VM 之後,請確認 Azure 監視器代理程式正在將 Syslog 資料轉送至您的工作區。
在 Azure 入口網站 中,搜尋並開啟 Microsoft Sentinel 或 Azure 監視器。
如果您使用 Microsoft Sentinel,請選取適當的工作區。
在 [一般] 底下,選取 [記錄檔]。
關閉 [ 查詢] 頁面,讓 [ 新增查詢] 索引標籤出現。
執行下列查詢,其中您將計算機值取代為Linux VM的名稱。
Syslog | where Computer == "vm-linux" | summarize by HostName
清除資源
評估您是否需要您建立之 VM 之類的資源。 如果您繼續執行資源,則可能會產生費用。 刪除您不需要個別的資源。 您也可以刪除資源群組,以刪除您建立的所有資源。