Esercitazione: Inoltrare i dati syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure
In questa esercitazione viene configurata una macchina virtuale Linux per inoltrare i dati Syslog all'area di lavoro usando l'agente di Monitoraggio di Azure. Questi passaggi consentono di raccogliere e monitorare i dati dai dispositivi basati su Linux in cui non è possibile installare un agente come un dispositivo di rete firewall.
Configurare il dispositivo basato su Linux per inviare dati a una macchina virtuale Linux. L'agente di Monitoraggio di Azure nella macchina virtuale inoltra i dati Syslog all'area di lavoro Log Analytics. Usare quindi Microsoft Sentinel o Monitoraggio di Azure per monitorare il dispositivo dai dati archiviati nell'area di lavoro Log Analytics.
In questa esercitazione apprenderai a:
- Creare una regola di raccolta dati.
- Verificare che l'agente di Monitoraggio di Azure sia in esecuzione.
- Abilitare la ricezione log sulla porta 514.
- Verificare che i dati syslog vengano inoltrati all'area di lavoro Log Analytics.
Prerequisiti
Per completare i passaggi di questa esercitazione, è necessario disporre delle risorse e dei ruoli seguenti:
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account Azure con i ruoli seguenti per distribuire l'agente e creare le regole di raccolta dati.
Ruolo predefinito Ambito Motivo - Collaboratore
- macchina virtuale Azure Connessione ed Machine Resource Amministrazione istrator- Macchine
virtuali- Set di scalabilità
- Server abilitati per Azure ArcPer distribuire l'agente Qualsiasi ruolo che include l'azione Microsoft.Resources/deployments/* - Sottoscrizione
- Gruppo
di risorse - Regola di raccolta dati esistentePer distribuire modelli di Azure Resource Manager Collaboratore al monitoraggio - Sottoscrizione
- Gruppo
di risorse - Regola di raccolta dati esistentePer creare o modificare le regole di raccolta dati Un'area di lavoro Log Analytics.
Un server Linux che esegue un sistema operativo che supporta l'agente di Monitoraggio di Azure.
Un dispositivo basato su Linux che genera dati del log eventi come un dispositivo di rete firewall.
Creare una regola di raccolta dati
Vedere le istruzioni dettagliate in Creare una regola di raccolta dati.
Verificare che l'agente di Monitoraggio di Azure sia in esecuzione
In Microsoft Sentinel o Monitoraggio di Azure verificare che l'agente di Monitoraggio di Azure sia in esecuzione nella macchina virtuale.
Nella portale di Azure cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.
Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.
In Generale, selezionare Log.
Chiudere la pagina Query in modo che venga visualizzata la scheda Nuova query .
Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Abilitare la ricezione dei log sulla porta 514
Verificare che la macchina virtuale che raccoglie i dati di log consenta la ricezione sulla porta 514 TCP o UDP a seconda dell'origine Syslog. Configurare quindi il daemon Syslog Linux predefinito nella macchina virtuale per l'ascolto dei messaggi Syslog dai dispositivi. Dopo aver completato questi passaggi, configurare il dispositivo basato su Linux per inviare i log alla macchina virtuale.
Le due sezioni seguenti illustrano come aggiungere una regola di porta in ingresso per una macchina virtuale di Azure e configurare il daemon Syslog Linux predefinito.
Consentire il traffico Syslog in ingresso nella macchina virtuale
Se si inoltrano dati Syslog a una macchina virtuale di Azure, seguire questa procedura per consentire la ricezione sulla porta 514.
Nella portale di Azure cercare e selezionare Macchine virtuali.
Selezionare la macchina virtuale.
In Impostazioni selezionare Rete.
Selezionare Aggiungi regola porta in ingresso.
Immettere i valori seguenti.
Campo valore Intervalli porte di destinazione 514 Protocollo TCP o UDP a seconda dell'origine Syslog Azione Consenti Nome AllowSyslogInbound Usare i valori predefiniti per i campi rimanenti.
Selezionare Aggiungi.
Configurare il daemon Syslog linux
Connessione alla macchina virtuale Linux ed eseguire il comando seguente per configurare il daemon Syslog Linux:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Questo script può apportare modifiche sia per rsyslog.d che per syslog-ng.
Nota
Per evitare scenari con disco completo in cui l'agente non può funzionare, è consigliabile impostare o rsyslogsyslog-ng non archiviare i log non necessario. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato.
Altre informazioni su rsyslog o syslog-ng.
Verificare che i dati syslog vengano inoltrati all'area di lavoro Log Analytics
Dopo aver configurato il dispositivo basato su Linux per inviare i log alla macchina virtuale, verificare che l'agente di Monitoraggio di Azure stia inoltrando i dati Syslog all'area di lavoro.
Nella portale di Azure cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.
Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.
In Generale, selezionare Log.
Chiudere la pagina Query in modo che venga visualizzata la scheda Nuova query .
Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Pulire le risorse
Valutare se sono necessarie risorse come la macchina virtuale creata. Le risorse lasciate in esecuzione possono costare denaro. Eliminare le risorse non necessarie singolarmente. È anche possibile eliminare il gruppo di risorse per eliminare tutte le risorse create.