Zelfstudie: Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van De Azure Monitor-agent

Artikel
06/17/2023

In deze zelfstudie configureert u een virtuele Linux-machine (VM) om Syslog-gegevens door te sturen naar uw werkruimte met behulp van Azure Monitor Agent. Met deze stappen kunt u gegevens verzamelen en bewaken van Linux-apparaten waarop u geen agent zoals een firewallnetwerkapparaat kunt installeren.

Configureer uw Linux-apparaat om gegevens te verzenden naar een Linux-VM. De Azure Monitor-agent op de VM stuurt de Syslog-gegevens door naar de Log Analytics-werkruimte. Gebruik vervolgens Microsoft Sentinel of Azure Monitor om het apparaat te controleren op basis van de gegevens die zijn opgeslagen in de Log Analytics-werkruimte.

In deze zelfstudie leert u het volgende:

Maak een gegevensverzamelingsregel.
Controleer of de Azure Monitor-agent wordt uitgevoerd.
Schakel de ontvangst van logboeken in op poort 514.
Controleer of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte.

Vereisten

Als u de stappen in deze zelfstudie wilt voltooien, moet u over de volgende resources en rollen beschikken:

Een Azure-account met een actief abonnement. Gratis een account maken

Een Azure-account met de volgende rollen om de agent te implementeren en de regels voor gegevensverzameling te maken.

Ingebouwde rol	Bereik	Reden
- Inzender voor virtuele machines - Resourcebeheerder voor verbonden Azure-machines	- Virtuele machines - Schaalsets - Servers met Azure Arc	De agent implementeren
Elke rol met de actie Microsoft.Resources/deployments/*	- Abonnement - Resourcegroep - Bestaande regel voor gegevensverzameling	Azure Resource Manager-sjablonen implementeren
Inzender voor bewaking	- Abonnement - Resourcegroep - Bestaande regel voor gegevensverzameling	Regels voor gegevensverzameling maken of bewerken

Een Log Analytics-werkruimte.
Een Linux-server waarop een besturingssysteem wordt uitgevoerd dat ondersteuning biedt voor Azure Monitor-agent.
- Ondersteunde Linux-besturingssystemen voor Azure Monitor Agent.
- Maak een Virtuele Linux-machine in de Azure Portal of voeg een on-premises Linux-server toe aan Azure Arc.
Een Linux-apparaat dat gebeurtenislogboekgegevens genereert, zoals een firewallnetwerkapparaat.

Een regel voor gegevensverzameling maken

Zie de stapsgewijze instructies in Een regel voor gegevensverzameling maken.

Controleren of De Azure Monitor-agent wordt uitgevoerd

Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VM.

Zoek en open Microsoft Sentinel of Azure Monitor in de Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
```
Heartbeat
| where Computer == "vm-linux"
| take 10
```

Logboekontvangst op poort 514 inschakelen

Controleer of de VM die de logboekgegevens verzamelt, ontvangst toestaat op poort 514 TCP of UDP, afhankelijk van de Syslog-bron. Configureer vervolgens de ingebouwde Linux Syslog-daemon op de VM om te luisteren naar Syslog-berichten van uw apparaten. Nadat u deze stappen hebt voltooid, configureert u uw Linux-apparaat om logboeken naar uw VM te verzenden.

In de volgende twee secties wordt beschreven hoe u een binnenkomende poortregel toevoegt voor een Azure-VM en de ingebouwde Linux Syslog-daemon configureert.

Binnenkomend Syslog-verkeer op de VM toestaan

Als u Syslog-gegevens doorstuurt naar een Azure-VM, volgt u deze stappen om ontvangst op poort 514 toe te staan.

Zoek en selecteer Virtual Machines in de Azure Portal.
Selecteer de VM.
Selecteer onder Instellingende optie Netwerken.
Selecteer Add inbound port rule.
Voer de volgende waarden in.

Veld Waarde

Poortbereiken van doel 514

Protocol TCP of UDP, afhankelijk van de Syslog-bron

Actie Toestaan

Naam AllowSyslogInbound

Gebruik de standaardwaarden voor de overige velden.
Selecteer Toevoegen.

Veld	Waarde
Poortbereiken van doel	514
Protocol	TCP of UDP, afhankelijk van de Syslog-bron
Actie	Toestaan
Naam	AllowSyslogInbound

De Linux Syslog-daemon configureren

Notitie

Om scenario's met volledige schijven te voorkomen waarin de agent niet kan functioneren, raden we u aan de syslog-ng configuratie of rsyslog in te stellen op het niet opslaan van overbodige logboeken. Een scenario met een volledige schijf verstoort de functie van de geïnstalleerde Azure Monitor-agent. Lees meer over rsyslog of syslog-ng.

Maak verbinding met uw Linux-VM en voer de volgende opdracht uit om de Linux Syslog-daemon te configureren:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Dit script kan wijzigingen aanbrengen voor zowel rsyslog.d als syslog-ng.

Controleren of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte

Nadat u uw Linux-apparaat hebt geconfigureerd voor het verzenden van logboeken naar uw VM, controleert u of De Azure Monitor-agent Syslog-gegevens doorstuurt naar uw werkruimte.

Zoek en open Microsoft Sentinel of Azure Monitor in de Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
```
Syslog
| where Computer == "vm-linux"
| summarize by HostName
```

Resources opschonen

Evalueer of u de resources nodig hebt, zoals de VM die u hebt gemaakt. Resources die u actief laat, kunnen u geld kosten. Verwijder de resources die u niet afzonderlijk nodig hebt. U kunt de resourcegroep ook verwijderen om alle resources te verwijderen die u hebt gemaakt.

Volgende stappen

Meer informatie over:

Regels voor gegevensverzameling in Azure Monitor Syslog-gebeurtenissen verzamelen met Azure Monitor-agent