Oktatóanyag: Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával
Ebben az oktatóanyagban egy Linux rendszerű virtuális gépet (VM-et) konfigurálva továbbíthatja a Syslog-adatokat a munkaterületre az Azure Monitor Agent használatával. Ezek a lépések lehetővé teszik az adatok gyűjtését és monitorozását Linux-alapú eszközökről, ahol nem telepíthet ügynököt, például tűzfal hálózati eszközt.
Feljegyzés
A Container Insights mostantól támogatja az AKS-fürtök Linux-csomópontjairól származó Syslog-események automatikus gyűjtését. További információ: Syslog-gyűjtemény a Container Insights használatával.
Konfigurálja a Linux-alapú eszközt úgy, hogy adatokat küldjön linuxos virtuális gépre. A virtuális gépen található Azure Monitor-ügynök továbbítja a Syslog-adatokat a Log Analytics-munkaterületre. Ezután a Microsoft Sentinel vagy az Azure Monitor használatával monitorozza az eszközt a Log Analytics-munkaterületen tárolt adatokból.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Adatgyűjtési szabály létrehozása.
- Ellenőrizze, hogy fut-e az Azure Monitor-ügynök.
- Naplófogadás engedélyezése az 514-ös porton.
- Ellenőrizze, hogy a Rendszernapló adatai továbbítva lesznek-e a Log Analytics-munkaterületre.
Előfeltételek
Az oktatóanyag lépéseinek elvégzéséhez a következő erőforrásokkal és szerepkörökhöz kell tartoznia:
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Az ügynök üzembe helyezéséhez és az adatgyűjtési szabályok létrehozásához az alábbi szerepkörökkel rendelkező Azure-fiók.
Beépített szerepkör Hatókör Ok - Virtuálisgép-közreműködő
- Azure Csatlakoztatott gép erőforrás-rendszergazdája- Virtuális gépek
– Méretezési csoportok
– Azure Arc-kompatibilis kiszolgálókAz ügynök üzembe helyezése Minden olyan szerepkör, amely tartalmazza a Microsoft.Resources/deployments/* műveletet - Előfizetés
– Erőforráscsoport
– Meglévő adatgyűjtési szabályAzure Resource Manager-sablonok üzembe helyezése Monitorozási közreműködő - Előfizetés
– Erőforráscsoport
– Meglévő adatgyűjtési szabályAdatgyűjtési szabályok létrehozása vagy szerkesztése Egy Log Analytics-munkaterület.
Az Azure Monitor Agentet támogató operációs rendszert futtató Linux-kiszolgáló.
Egy Linux-alapú eszköz, amely olyan eseménynapló-adatokat hoz létre, mint egy tűzfal hálózati eszköz.
Az Azure Monitor Agent konfigurálása Syslog-adatok gyűjtésére
Tekintse meg a Syslog-események összegyűjtése az Azure Monitor-ügynökkel című témakör részletes utasításait.
Ellenőrizze, hogy fut-e az Azure Monitor-ügynök
A Microsoft Sentinelben vagy az Azure Monitorban ellenőrizze, hogy az Azure Monitor Agent fut-e a virtuális gépen.
Az Azure Portalon keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.
Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.
Az Általános területen válassza a Naplók elemet.
Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.
Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.
Heartbeat | where Computer == "vm-linux" | take 10
Naplófogadás engedélyezése az 514-ös porton
Ellenőrizze, hogy a naplóadatokat gyűjtő virtuális gép engedélyezi-e a fogadást az 514-ös TCP- vagy UDP-porton a Syslog-forrástól függően. Ezután konfigurálja a virtuális gépen a beépített Linux Syslog démont az eszközök Syslog-üzeneteinek figyeléséhez. A lépések elvégzése után konfigurálja a Linux-alapú eszközt úgy, hogy naplókat küldjön a virtuális gépnek.
Feljegyzés
Ha a tűzfal fut, létre kell hozni egy szabályt, amely lehetővé teszi, hogy a távoli rendszerek elérjék a démon syslog-figyelőjét: systemctl status firewalld.service
- Hozzáadás tcp 514-hez (a zóna/port/protokoll a forgatókönyvtől függően eltérhet)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Hozzáadás az udp 514-hez (a zóna/port/protokoll a forgatókönyvtől függően eltérhet)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Indítsa újra a tűzfalszolgáltatást az új szabályok érvénybe léptetéséhez
systemctl restart firewalld.service
Az alábbi két szakasz bemutatja, hogyan adhat hozzá bejövő portszabályt egy Azure-beli virtuális géphez, és hogyan konfigurálhatja a beépített Linux Syslog démont.
Bejövő Syslog-forgalom engedélyezése a virtuális gépen
Ha Syslog-adatokat továbbít egy Azure-beli virtuális gépre, az alábbi lépéseket követve engedélyezheti a fogadást az 514-ös porton.
Az Azure Portalon keresse meg és válassza ki a virtuális gépeket.
Válassza ki a virtuális gépet.
A Beállítások alatt válassza a Hálózatkezelés elemet.
Kattintson a Bejövőport-szabály hozzáadása elemre.
Írja be a következő értékeket.
Mező Érték Célporttartományok 514 Protokoll TCP vagy UDP a Syslog forrásától függően Művelet Engedélyezés Név AllowSyslogInbound A többi mezőnél használja az alapértelmezett beállításokat.
Válassza a Hozzáadás lehetőséget.
A Linux Syslog démon konfigurálása
Csatlakozzon a Linux rendszerű virtuális géphez, és konfigurálja a Linux Syslog démont. Futtassa például a következő parancsot, és szükség szerint igazítsa a parancsot a hálózati környezethez:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Ez a szkript módosíthatja az rsyslog.d és a syslog-ng fájlokat is.
Feljegyzés
A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, be kell állítania a syslog-ng
rsyslog
konfigurációt úgy, hogy ne tárolja az ügynök által nem szükséges naplókat. A teljes lemezes forgatókönyv megzavarja a telepített Azure Monitor-ügynök működését.
További információ az rsyslog-ról vagy a syslog-ng-ről.
Annak ellenőrzése, hogy a Rendszernapló adatai továbbítva lesznek-e a Log Analytics-munkaterületre
Miután konfigurálta a Linux-alapú eszközt, hogy naplókat küldjön a virtuális gépnek, ellenőrizze, hogy az Azure Monitor Agent továbbít-e Syslog-adatokat a munkaterületre.
Az Azure Portalon keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.
Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.
Az Általános területen válassza a Naplók elemet.
Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.
Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.
Syslog | where Computer == "vm-linux" | summarize by HostName
Az erőforrások eltávolítása
Értékelje ki, hogy szüksége van-e olyan erőforrásokra, mint a létrehozott virtuális gép. A futtatásból kilépő erőforrások pénzbe kerülhetnek. Törölje azokat az erőforrásokat, amelyekre nincs szüksége egyenként. Az erőforráscsoportot az összes létrehozott erőforrás törléséhez is törölheti.