البرنامج التعليمي: إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics باستخدام Microsoft Sentinel باستخدام Azure Monitor Agent
في هذا البرنامج التعليمي، يمكنك تكوين جهاز ظاهري Linux (VM) لإعادة توجيه بيانات Syslog إلى مساحة العمل الخاصة بك باستخدام Azure Monitor Agent. تسمح لك هذه الخطوات بجمع البيانات ومراقبتها من الأجهزة المستندة إلى Linux حيث لا يمكنك تثبيت عامل مثل جهاز شبكة جدار الحماية.
إشعار
تدعم Container Insights الآن المجموعة التلقائية لأحداث Syslog من عقد Linux في مجموعات AKS الخاصة بك. لمعرفة المزيد، راجع مجموعة Syslog باستخدام Container Insights.
قم بتكوين جهازك المستند إلى Linux لإرسال البيانات إلى جهاز Linux الظاهري. يقوم عامل Azure Monitor على الجهاز الظاهري بإعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics. ثم استخدم Microsoft Sentinel أو Azure Monitor لمراقبة الجهاز من البيانات المخزنة في مساحة عمل Log Analytics.
في هذا البرنامج التعليمي، تتعلم كيفية:
- إنشاء قاعدة تجميع بيانات.
- تحقق من تشغيل عامل Azure Monitor.
- تمكين استقبال السجل على المنفذ 514.
- تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics.
المتطلبات الأساسية
لإكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب أن يكون لديك الموارد والأدوار التالية:
حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
حساب Azure مع الأدوار التالية لنشر العامل وإنشاء قواعد جمع البيانات.
الدور مدمج النطاق السبب - مساهم في الجهاز الظاهري
- مسؤول موارد الجهاز المتصل في Azure- الأجهزة
الظاهرية - مجموعات المقياس
- الخوادم الممكنة بواسطة Azure Arcلتوزيع العامل أي دور يتضمن الإجراء Microsoft.Resources/التوزيع /* - الاشتراك
- مجموعة
الموارد- قاعدة جمع البيانات الموجودةلنشر قوالب Azure Resource Manager المساهم في المراقبة - الاشتراك
- مجموعة
الموارد - قاعدة جمع البيانات الموجودةلإنشاء أو تحرير قواعد جمع البيانات مساحة عمل Log Analytics.
خادم Linux يقوم بتشغيل نظام تشغيل يدعم Azure Monitor Agent.
جهاز يستند إلى Linux يقوم بإنشاء بيانات سجل الأحداث مثل جهاز شبكة جدار الحماية.
تكوين عامل Azure Monitor لجمع بيانات Syslog
راجع الإرشادات خطوة بخطوة في تجميع أحداث Syslog باستخدام عامل Azure Monitor.
تحقق من تشغيل عامل Azure Monitor
في Microsoft Sentinel أو Azure Monitor، تحقق من تشغيل عامل Azure Monitor على جهازك الظاهري.
في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.
إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.
تحت عام، حدد السجلات.
أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.
قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.
Heartbeat | where Computer == "vm-linux" | take 10
تمكين استقبال السجل على المنفذ 514
تحقق من أن الجهاز الظاهري الذي يجمع بيانات السجل يسمح بالاستقبال على المنفذ 514 TCP أو UDP اعتمادا على مصدر Syslog. ثم قم بتكوين البرنامج الخفي ل Linux Syslog المضمن على الجهاز الظاهري للاستماع إلى رسائل Syslog من أجهزتك. بعد الانتهاء من هذه الخطوات، قم بتكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري الخاص بك.
إشعار
إذا كان جدار الحماية قيد التشغيل، فستحتاج إلى إنشاء قاعدة للسماح للأنظمة البعيدة بالوصول إلى مستمع سجل البرنامج الخفي: systemctl status firewalld.service
- إضافة ل tcp 514 (قد تختلف منطقتك/منفذك/بروتوكولك وفقا للسيناريو الخاص بك)
firewall-cmd --zone=public --add-port=514/tcp --permanent - إضافة ل udp 514 (قد تختلف منطقتك/منفذك/بروتوكولك وفقا للسيناريو الخاص بك)
firewall-cmd --zone=public --add-port=514/udp --permanent - إعادة تشغيل خدمة جدار الحماية لضمان سريان القواعد الجديدة
systemctl restart firewalld.service
يغطي القسمان التاليان كيفية إضافة قاعدة منفذ واردة لجهاز Azure الظاهري وتكوين برنامج Linux Syslog الخفي المضمن.
السماح بنسبة استخدام الشبكة Syslog الواردة على الجهاز الظاهري
إذا كنت تقوم بإعادة توجيه بيانات Syslog إلى جهاز Azure الظاهري، فاتبع هذه الخطوات للسماح باستقبال على المنفذ 514.
في مدخل Azure، ابحث عن الأجهزة الظاهرية وحددها.
حدد الجهاز الظاهري.
ضمن الإعدادات، حدد الشبكات.
حدد Add inbound port rule.
أدخل القيم التالية.
الحقل القيمة نطاقات المنفذ الوجهات 514 البروتوكول TCP أو UDP اعتمادا على مصدر Syslog الإجراء السماح الاسم AllowSyslogInbound استخدم القيم الافتراضية لبقية الحقول.
حدد إضافة.
تكوين برنامج Linux Syslog الخفي
اتصل بجهاز Linux الظاهري الخاص بك وقم بتكوين برنامج Linux Syslog الخفي. على سبيل المثال، قم بتشغيل الأمر التالي، مع تكييف الأمر حسب الحاجة لبيئة الشبكة:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
يمكن لهذا البرنامج النصي إجراء تغييرات لكل من rsyslog.d وsyslog-ng.
إشعار
لتجنب سيناريوهات "القرص الكامل" حيث لا يمكن للعامل العمل، يجب تعيين syslog-ng أو rsyslog التكوين لعدم تخزين السجلات، والتي لا يحتاجها العامل. يعطل سيناريو "القرص الكامل" وظيفة عامل Azure Monitor المثبت.
اقرأ المزيد حول rsyslog أو syslog-ng.
تحقق من إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics
بعد تكوين جهازك المستند إلى Linux لإرسال سجلات إلى الجهاز الظاهري، تحقق من أن Azure Monitor Agent يعيد توجيه بيانات Syslog إلى مساحة العمل الخاصة بك.
في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel أو Azure Monitor وافتحه.
إذا كنت تستخدم Microsoft Sentinel، فحدد مساحة العمل المناسبة.
تحت عام، حدد السجلات.
أغلق صفحة الاستعلامات بحيث تظهر علامة التبويب استعلام جديد.
قم بتشغيل الاستعلام التالي حيث يمكنك استبدال قيمة الكمبيوتر باسم جهاز Linux الظاهري الخاص بك.
Syslog | where Computer == "vm-linux" | summarize by HostName
تنظيف الموارد
تقييم ما إذا كنت بحاجة إلى الموارد مثل الجهاز الظاهري الذي قمت بإنشائه. الموارد التي تتركها تعمل يمكن أن تكلفك بغض من المال. احذف الموارد التي لا تحتاج إليها بشكل فردي. يمكنك أيضا حذف مجموعة الموارد لحذف جميع الموارد التي قمت بإنشائها.