Tutorial: Meneruskan data Syslog ke ruang kerja Analitik Log dengan Microsoft Azure Sentinel dengan menggunakan Agen Azure Monitor
Dalam tutorial ini, Anda mengonfigurasi komputer virtual (VM) Linux untuk meneruskan data Syslog ke ruang kerja Anda dengan menggunakan Agen Azure Monitor. Langkah ini memungkinkan Anda mengumpulkan dan memantau data dari perangkat berbasis Linux di mana Anda tidak dapat menginstal agen seperti perangkat jaringan firewall.
Catatan
Container Insights sekarang mendukung pengumpulan otomatis peristiwa Syslog dari simpul Linux di kluster AKS Anda. Untuk mempelajari lebih lanjut, lihat Koleksi Syslog dengan Container Insights.
Konfigurasikan perangkat berbasis Linux Anda untuk mengirim data ke VM Linux. Agen Azure Monitor pada VM meneruskan data Syslog ke ruang kerja Analitik Log. Kemudian gunakan Microsoft Sentinel atau Azure Monitor untuk memantau perangkat dari data yang disimpan di ruang kerja Analitik Log.
Dalam tutorial ini, Anda akan mempelajari cara:
- Membuat aturan pengumpulan data.
- Verifikasi bahwa Agen Azure Monitor sedang berjalan.
- Aktifkan penerimaan log pada port 514.
- Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda.
Prasyarat
Untuk menyelesaikan langkah-langkah dalam tutorial ini, Anda harus memiliki sumber daya dan peran berikut:
Akun Azure dengan langganan aktif. Buat akun secara gratis.
Akun Azure dengan peran berikut untuk menyebarkan agen dan membuat aturan pengumpulan data.
Peran bawaan Cakupan Alasan - Kontributor Mesin Virtual
- Administrator Sumber Daya Azure Connected Machine- Komputer virtual
- Set
skala- Server dengan dukungan Azure ArcUntuk menyebarkan agen Peran apa pun yang menyertakan tindakan Microsoft.Resources/deployments/* - Langganan
- Grup
sumber daya- Aturan pengumpulan data yang adaUntuk menyebarkan templat Azure Resource Manager Kontributor Pemantauan - Langganan
- Grup
sumber daya - Aturan pengumpulan data yang adaUntuk membuat atau mengedit aturan pengumpulan data Ruang kerja Analitik Log.
Server Linux yang menjalankan sistem operasi yang mendukung Agen Azure Monitor.
Perangkat berbasis Linux yang menghasilkan data log peristiwa seperti perangkat jaringan firewall.
Mengonfigurasi Agen Azure Monitor untuk mengumpulkan data Syslog
Lihat instruksi langkah demi langkah dalam Mengumpulkan peristiwa Syslog dengan Agen Azure Monitor.
Verifikasi bahwa Agen Azure Monitor sedang berjalan
Di Microsoft Azure Sentinel atau Azure Monitor, verifikasi bahwa Agen Azure Monitor berjalan di VM Anda.
Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.
Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.
Di bagianUmum, pilih Log.
Tutup halaman Kueri sehingga tab Kueri Baru muncul.
Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.
Heartbeat | where Computer == "vm-linux" | take 10
Mengaktifkan penerimaan log pada port 514
Verifikasi bahwa VM yang mengumpulkan data log memungkinkan penerimaan pada port 514 TCP atau UDP tergantung pada sumber Syslog. Kemudian konfigurasikan daemon Linux Syslog bawaan pada VM untuk mendengarkan pesan Syslog dari perangkat Anda. Setelah Anda menyelesaikan langkah-langkah tersebut, konfigurasikan perangkat berbasis Linux Anda untuk mengirim log ke VM Anda.
Catatan
Jika firewall berjalan, aturan perlu dibuat untuk memungkinkan sistem jarak jauh mencapai pendengar syslog daemon: systemctl status firewalld.service
- Tambahkan untuk tcp 514 (zona/port/protokol Anda mungkin berbeda tergantung pada skenario Anda)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Tambahkan untuk udp 514 (zona/port/protokol Anda mungkin berbeda tergantung pada skenario Anda)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Mulai ulang layanan firewall untuk memastikan aturan baru berlaku
systemctl restart firewalld.service
Dua bagian berikut mencakup cara menambahkan aturan port masuk untuk Azure VM dan mengonfigurasi daemon Linux Syslog bawaan.
Mengizinkan lalu lintas Syslog masuk pada VM
Jika Anda meneruskan data Syslog ke Azure VM, ikuti langkah-langkah ini untuk mengizinkan penerimaan pada port 514.
Di portal Azure, cari dan pilih Mesin Virtual.
Pilih komputer virtual.
Di Pengaturan, pilih Jaringan.
Pilih Tambahkan aturan port masuk.
Masukkan nilai berikut.
Bidang Nilai Rentang port tujuan 514 Protokol TCP atau UDP tergantung pada sumber Syslog Tindakan Izinkan Nama AllowSyslogInbound Gunakan nilai default untuk bidang lainnya.
Pilih Tambahkan.
Mengonfigurasi daemon Linux Syslog
Sambungkan ke VM Linux Anda dan konfigurasikan daemon Linux Syslog. Misalnya, jalankan perintah berikut, sesuaikan perintah sesuai kebutuhan untuk lingkungan jaringan Anda:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Skrip ini dapat membuat perubahan untuk rsyslog.d dan syslog-ng.
Catatan
Untuk menghindari skenario Disk Penuh di mana agen tidak dapat berfungsi, Anda harus mengatur syslog-ng
konfigurasi atau rsyslog
untuk tidak menyimpan log, yang tidak diperlukan oleh agen. Skenario Disk Penuh mengganggu fungsi Agen Azure Monitor yang diinstal.
Baca selengkapnya tentang rsyslog atau syslog-ng.
Verifikasi bahwa data Syslog diteruskan ke ruang kerja Analitik Log Anda
Setelah Mengonfigurasi perangkat berbasis Linux untuk mengirim log ke VM Anda, verifikasi bahwa Agen Azure Monitor meneruskan data Syslog ke ruang kerja Anda.
Di portal Azure, cari dan buka Microsoft Sentinel atau Azure Monitor.
Jika Anda menggunakan Microsoft Sentinel, pilih ruang kerja yang sesuai.
Di bagianUmum, pilih Log.
Tutup halaman Kueri sehingga tab Kueri Baru muncul.
Jalankan kueri berikut di mana Anda mengganti nilai komputer dengan nama VM Linux Anda.
Syslog | where Computer == "vm-linux" | summarize by HostName
Membersihkan sumber daya
Evaluasi apakah Anda memerlukan sumber daya seperti VM yang Anda buat. Sumber daya yang Anda biarkan berjalan dapat dikenakan biaya. Hapus sumber daya yang tidak Anda butuhkan satu per satu. Anda juga dapat menghapus grup sumber daya untuk menghapus semua sumber daya yang Anda buat.