Megosztás a következőn keresztül:

Oktatóanyag: Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával

  • Cikk

Ebben az oktatóanyagban egy Linux rendszerű virtuális gépet (VM-et) konfigurálva továbbíthatja a Syslog-adatokat a munkaterületre az Azure Monitor Agent használatával. Ezek a lépések lehetővé teszik az adatok gyűjtését és monitorozását Linux-alapú eszközökről, ahol nem telepíthet ügynököt, például tűzfal hálózati eszközt.

Feljegyzés

A Container Insights mostantól támogatja az AKS-fürtök Linux-csomópontjairól származó Syslog-események automatikus gyűjtését. További információ: Syslog-gyűjtemény a Container Insights használatával.

Konfigurálja a Linux-alapú eszközt úgy, hogy adatokat küldjön linuxos virtuális gépre. A virtuális gépen található Azure Monitor-ügynök továbbítja a Syslog-adatokat a Log Analytics-munkaterületre. Ezután a Microsoft Sentinel vagy az Azure Monitor használatával monitorozza az eszközt a Log Analytics-munkaterületen tárolt adatokból.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Adatgyűjtési szabály létrehozása.
  • Ellenőrizze, hogy fut-e az Azure Monitor-ügynök.
  • Naplófogadás engedélyezése az 514-ös porton.
  • Ellenőrizze, hogy a Rendszernapló adatai továbbítva lesznek-e a Log Analytics-munkaterületre.

Előfeltételek

Az oktatóanyag lépéseinek elvégzéséhez a következő erőforrásokkal és szerepkörökhöz kell tartoznia:

Az Azure Monitor Agent konfigurálása Syslog-adatok gyűjtésére

Tekintse meg a Syslog-események összegyűjtése az Azure Monitor-ügynökkel című témakör részletes utasításait.

Ellenőrizze, hogy fut-e az Azure Monitor-ügynök

A Microsoft Sentinelben vagy az Azure Monitorban ellenőrizze, hogy az Azure Monitor Agent fut-e a virtuális gépen.

  1. Az Azure Portalon keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.

  2. Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.

  3. Az Általános területen válassza a Naplók elemet.

  4. Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.

  5. Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.

    Heartbeat
| where Computer == "vm-linux"
| take 10

Naplófogadás engedélyezése az 514-ös porton

Ellenőrizze, hogy a naplóadatokat gyűjtő virtuális gép engedélyezi-e a fogadást az 514-ös TCP- vagy UDP-porton a Syslog-forrástól függően. Ezután konfigurálja a virtuális gépen a beépített Linux Syslog démont az eszközök Syslog-üzeneteinek figyeléséhez. A lépések elvégzése után konfigurálja a Linux-alapú eszközt úgy, hogy naplókat küldjön a virtuális gépnek.

Feljegyzés

Ha a tűzfal fut, létre kell hozni egy szabályt, amely lehetővé teszi, hogy a távoli rendszerek elérjék a démon syslog-figyelőjét: systemctl status firewalld.service

  1. Hozzáadás tcp 514-hez (a zóna/port/protokoll a forgatókönyvtől függően eltérhet) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Hozzáadás az udp 514-hez (a zóna/port/protokoll a forgatókönyvtől függően eltérhet) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Indítsa újra a tűzfalszolgáltatást az új szabályok érvénybe léptetéséhez systemctl restart firewalld.service

Az alábbi két szakasz bemutatja, hogyan adhat hozzá bejövő portszabályt egy Azure-beli virtuális géphez, és hogyan konfigurálhatja a beépített Linux Syslog démont.

Bejövő Syslog-forgalom engedélyezése a virtuális gépen

Ha Syslog-adatokat továbbít egy Azure-beli virtuális gépre, az alábbi lépéseket követve engedélyezheti a fogadást az 514-ös porton.

  1. Az Azure Portalon keresse meg és válassza ki a virtuális gépeket.

  2. Válassza ki a virtuális gépet.

  3. A Beállítások alatt válassza a Hálózatkezelés elemet.

  4. Kattintson a Bejövőport-szabály hozzáadása elemre.

  5. Írja be a következő értékeket.

    Mező Érték
    Célporttartományok 514
    Protokoll TCP vagy UDP a Syslog forrásától függően
    Művelet Engedélyezés
    Név AllowSyslogInbound

    A többi mezőnél használja az alapértelmezett beállításokat.

  6. Válassza a Hozzáadás lehetőséget.

A Linux Syslog démon konfigurálása

Csatlakozzon a Linux rendszerű virtuális géphez, és konfigurálja a Linux Syslog démont. Futtassa például a következő parancsot, és szükség szerint igazítsa a parancsot a hálózati környezethez:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Ez a szkript módosíthatja az rsyslog.d és a syslog-ng fájlokat is.

Feljegyzés

A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, be kell állítania a syslog-ngrsyslog konfigurációt úgy, hogy ne tárolja az ügynök által nem szükséges naplókat. A teljes lemezes forgatókönyv megzavarja a telepített Azure Monitor-ügynök működését. További információ az rsyslog-ról vagy a syslog-ng-ről.

Annak ellenőrzése, hogy a Rendszernapló adatai továbbítva lesznek-e a Log Analytics-munkaterületre

Miután konfigurálta a Linux-alapú eszközt, hogy naplókat küldjön a virtuális gépnek, ellenőrizze, hogy az Azure Monitor Agent továbbít-e Syslog-adatokat a munkaterületre.

  1. Az Azure Portalon keresse meg és nyissa meg a Microsoft Sentinelt vagy az Azure Monitort.

  2. Ha Microsoft Sentinelt használ, válassza ki a megfelelő munkaterületet.

  3. Az Általános területen válassza a Naplók elemet.

  4. Zárja be a Lekérdezések lapot, hogy megjelenjen az Új lekérdezés lap.

  5. Futtassa a következő lekérdezést, amelyben a számítógép értékét a Linux rendszerű virtuális gép nevére cseréli.

    Syslog
| where Computer == "vm-linux"
| summarize by HostName

Az erőforrások eltávolítása

Értékelje ki, hogy szüksége van-e olyan erőforrásokra, mint a létrehozott virtuális gép. A futtatásból kilépő erőforrások pénzbe kerülhetnek. Törölje azokat az erőforrásokat, amelyekre nincs szüksége egyenként. Az erőforráscsoportot az összes létrehozott erőforrás törléséhez is törölheti.

Kapcsolódó tartalom