Zelfstudie: Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van De Azure Monitor-agent
In deze zelfstudie configureert u een virtuele Linux-machine (VM) om Syslog-gegevens door te sturen naar uw werkruimte met behulp van Azure Monitor Agent. Met deze stappen kunt u gegevens verzamelen en bewaken van Linux-apparaten waarop u geen agent zoals een firewallnetwerkapparaat kunt installeren.
Configureer uw Linux-apparaat om gegevens te verzenden naar een Linux-VM. De Azure Monitor-agent op de VM stuurt de Syslog-gegevens door naar de Log Analytics-werkruimte. Gebruik vervolgens Microsoft Sentinel of Azure Monitor om het apparaat te controleren op basis van de gegevens die zijn opgeslagen in de Log Analytics-werkruimte.
In deze zelfstudie leert u het volgende:
- Maak een gegevensverzamelingsregel.
- Controleer of de Azure Monitor-agent wordt uitgevoerd.
- Schakel de ontvangst van logboeken in op poort 514.
- Controleer of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte.
Vereisten
Als u de stappen in deze zelfstudie wilt voltooien, moet u over de volgende resources en rollen beschikken:
Een Azure-account met een actief abonnement. Gratis een account maken
Een Azure-account met de volgende rollen om de agent te implementeren en de regels voor gegevensverzameling te maken.
Ingebouwde rol Bereik Reden - Inzender voor virtuele machines
- Resourcebeheerder voor verbonden Azure-machines- Virtuele machines
- Schaalsets
- Servers met Azure ArcDe agent implementeren Elke rol met de actie Microsoft.Resources/deployments/* - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingAzure Resource Manager-sjablonen implementeren Inzender voor bewaking - Abonnement
- Resourcegroep
- Bestaande regel voor gegevensverzamelingRegels voor gegevensverzameling maken of bewerken Een Log Analytics-werkruimte.
Een Linux-server waarop een besturingssysteem wordt uitgevoerd dat ondersteuning biedt voor Azure Monitor-agent.
Een Linux-apparaat dat gebeurtenislogboekgegevens genereert, zoals een firewallnetwerkapparaat.
Een regel voor gegevensverzameling maken
Zie de stapsgewijze instructies in Een regel voor gegevensverzameling maken.
Controleren of De Azure Monitor-agent wordt uitgevoerd
Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VM.
Zoek en open Microsoft Sentinel of Azure Monitor in de Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Heartbeat | where Computer == "vm-linux" | take 10
Logboekontvangst op poort 514 inschakelen
Controleer of de VM die de logboekgegevens verzamelt, ontvangst toestaat op poort 514 TCP of UDP, afhankelijk van de Syslog-bron. Configureer vervolgens de ingebouwde Linux Syslog-daemon op de VM om te luisteren naar Syslog-berichten van uw apparaten. Nadat u deze stappen hebt voltooid, configureert u uw Linux-apparaat om logboeken naar uw VM te verzenden.
In de volgende twee secties wordt beschreven hoe u een binnenkomende poortregel toevoegt voor een Azure-VM en de ingebouwde Linux Syslog-daemon configureert.
Binnenkomend Syslog-verkeer op de VM toestaan
Als u Syslog-gegevens doorstuurt naar een Azure-VM, volgt u deze stappen om ontvangst op poort 514 toe te staan.
Zoek en selecteer Virtual Machines in de Azure Portal.
Selecteer de VM.
Selecteer onder Instellingende optie Netwerken.
Selecteer Add inbound port rule.
Voer de volgende waarden in.
Veld Waarde Poortbereiken van doel 514 Protocol TCP of UDP, afhankelijk van de Syslog-bron Actie Toestaan Naam AllowSyslogInbound Gebruik de standaardwaarden voor de overige velden.
Selecteer Toevoegen.
De Linux Syslog-daemon configureren
Notitie
Om scenario's met volledige schijven te voorkomen waarin de agent niet kan functioneren, raden we u aan de syslog-ng
configuratie of rsyslog
in te stellen op het niet opslaan van overbodige logboeken. Een scenario met een volledige schijf verstoort de functie van de geïnstalleerde Azure Monitor-agent.
Lees meer over rsyslog of syslog-ng.
Maak verbinding met uw Linux-VM en voer de volgende opdracht uit om de Linux Syslog-daemon te configureren:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Dit script kan wijzigingen aanbrengen voor zowel rsyslog.d als syslog-ng.
Controleren of Syslog-gegevens worden doorgestuurd naar uw Log Analytics-werkruimte
Nadat u uw Linux-apparaat hebt geconfigureerd voor het verzenden van logboeken naar uw VM, controleert u of De Azure Monitor-agent Syslog-gegevens doorstuurt naar uw werkruimte.
Zoek en open Microsoft Sentinel of Azure Monitor in de Azure Portal.
Als u Microsoft Sentinel gebruikt, selecteert u de juiste werkruimte.
Selecteer Logboekenonder Algemeen.
Sluit de pagina Query's zodat het tabblad Nieuwe query wordt weergegeven.
Voer de volgende query uit waarbij u de computerwaarde vervangt door de naam van uw Linux-VM.
Syslog | where Computer == "vm-linux" | summarize by HostName
Resources opschonen
Evalueer of u de resources nodig hebt, zoals de VM die u hebt gemaakt. Resources die u actief laat, kunnen u geld kosten. Verwijder de resources die u niet afzonderlijk nodig hebt. U kunt de resourcegroep ook verwijderen om alle resources te verwijderen die u hebt gemaakt.
Volgende stappen
Meer informatie over: