Tutorial: Weiterleiten von Syslog-Daten an einen Log Analytics-Arbeitsbereich mit Microsoft Sentinel mithilfe des Azure Monitor-Agenten
In diesem Tutorial konfigurieren Sie eine Linux-VM für die Weiterleitung von Syslog-Daten an Ihren Arbeitsbereich mithilfe des Azure Monitor-Agenten. Mit diesen Schritten können Sie Daten von Linux-basierten Geräten sammeln und überwachen, auf denen Sie keinen Agent installieren können (z. B. ein Firewallnetzwerkgerät).
Hinweis
Container Insights unterstützt jetzt die automatische Sammlung von Syslog-Ereignissen von Linux-Knoten in Ihren AKS-Clustern. Weitere Informationen finden Sie in der Syslog-Sammlung mit Container Insights.
Konfigurieren Sie Ihr Linux-basiertes Gerät so, dass Daten an eine Linux-VM gesendet werden. Der Azure Monitor-Agent auf der VM leitet die Syslog-Daten an den Log Analytics-Arbeitsbereich weiter. Verwenden Sie dann Microsoft Sentinel oder Azure Monitor, um das Gerät über die im Log Analytics-Arbeitsbereich gespeicherten Daten zu überwachen.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen einer Datensammlungsregel
- Überprüfen Sie, ob der Azure Monitor-Agent ausgeführt wird.
- Aktivieren Sie den Protokollempfang an Port 514.
- Überprüfen Sie die Weiterleitung von Syslog-Daten an Ihren Log Analytics-Arbeitsbereich.
Voraussetzungen
Um die Schritte in diesem Tutorial durchzuführen, benötigen Sie die folgenden Ressourcen und Rollen:
Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Ein Azure-Konto mit den folgenden Rollen zum Bereitstellen des Agenten und Erstellen der Datensammlungsregeln.
Integrierte Rolle Bereich `Reason` - Mitwirkender für virtuelle Computer
- Ressourcenadministrator für Azure Connected Machine- VMs
- Skalierungsgruppen
- Arc-fähige ServerBereitstellen des Agents Jede Rolle, die die Aktion „Microsoft.Resources/deployments/*“ umfasst - Abonnement
- Ressourcengruppe
- Vorhandene DatensammlungsregelSo stellen Sie die Azure Resource Manager-Vorlagen bereit Mitwirkender an der Überwachung - Abonnement
- Ressourcengruppe
- Vorhandene DatensammlungsregelZum Erstellen oder Bearbeiten von Datensammlungsregeln Einen Log Analytics-Arbeitsbereich
Einen Linux-Server, der ein Betriebssystem ausführt, das den Azure Monitor-Agent unterstützt.
Ein Linux-basiertes Gerät, das Ereignisprotokolldaten wie ein Firewall-Netzwerkgerät generiert.
Konfigurieren des Azure Monitor-Agents zum Sammeln von Syslog-Daten
Lesen Sie die schrittweisen Anleitungen zum Sammeln von Syslog-Ereignissen mit Azure Monitor Agent.
Überprüfen, ob der Azure Monitor-Agent ausgeführt wird
Überprüfen Sie in Microsoft Sentinel oder Azure Monitor, ob der Azure Monitor-Agent auf Ihrer VM ausgeführt wird.
Suchen Sie im Azure-Portal nach Microsoft Sentinel oder Azure Monitor, und öffnen Sie den jeweiligen Dienst.
Wenn Sie Microsoft Sentinel verwenden, wählen Sie den entsprechenden Arbeitsbereich aus.
Wählen Sie unter Allgemein die Option Protokolle aus.
Schließen Sie die Seite Abfragen, sodass die Registerkarte Neue Abfrage erscheint.
Führen Sie die folgende Abfrage aus. Ersetzen Sie den Computerwert durch den Namen Ihrer Linux-VM.
Heartbeat | where Computer == "vm-linux" | take 10
Aktivieren des Protokollempfangs an Port 514
Stellen Sie sicher, dass die VM, die die Protokolldaten sammelt, den Empfang an Port 514, TCP oder UDP (je nach Syslog-Quelle), ermöglicht. Konfigurieren Sie dann den integrierten Linux-Syslog-Daemon auf der VM so, dass er auf Syslog-Meldungen von Ihren Geräten lauscht. Nachdem Sie diese Schritte ausgeführt haben, konfigurieren Sie Ihr Linux-basiertes Gerät so, dass Protokolle an Ihre VM gesendet werden.
Hinweis
Wenn die Firewall ausgeführt wird, muss eine Regel erstellt werden, damit Remotesysteme den Syslog-Listener des Daemons erreichen können: systemctl status firewalld.service
- Für tcp 514 (Zone/Port/Protokoll unterscheiden sich möglicherweise je nach Szenario) hinzufügen
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Für udp 514 (Zone/Port/Protokoll unterscheiden sich möglicherweise je nach Szenario) hinzufügen
firewall-cmd --zone=public --add-port=514/udp --permanent
- Starten Sie den Firewalldienst neu, um sicherzustellen, dass neue Regeln
systemctl restart firewalld.service
in Kraft treten
In den folgenden beiden Abschnitten wird erläutert, wie Sie eine Eingangsportregel für eine Azure-VM hinzufügen und den integrierten Linux-Syslog-Daemon konfigurieren.
Zulassen von eingehendem Syslog-Datenverkehr auf der VM
Wenn Sie Syslogs-Daten an eine Azure-VM weiterleiten, folgen Sie den folgenden Schritten, um den Empfang an Port 514 zuzulassen.
Suchen Sie im Azure-Portal nach Virtual Machines, und klicken Sie darauf.
Wählen Sie den virtuellen Computer aus.
Wählen Sie unter Einstellungen die Option Netzwerk aus.
Wählen Sie Regel für eingehenden Port hinzufügen aus.
Geben Sie die folgenden Werte ein.
Feld Wert Zielportbereiche 514 Protocol TCP oder UDP, je nach Syslog-Quelle Aktion Allow Name AllowSyslogInbound Übernehmen Sie für die restlichen Feldern die Standardwerte.
Wählen Sie Hinzufügen.
Konfigurieren des Linux-Syslog-Daemons
Stellen Sie eine Verbindung mit Ihrer Linux-VM her, und konfigurieren Sie den Linux-Syslog-Daemon. Führen Sie beispielsweise den folgenden Befehl aus, nachdem Sie ihn ggf. an Ihre Netzwerkumgebung angepasst haben:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Dieses Skript kann Änderungen sowohl für „rsyslog.d“ als auch für „syslog-ng“ vornehmen.
Hinweis
Um Szenarien einer vollständigen Festplattenbelegung zu vermeiden, bei denen der Agent nicht mehr funktionsfähig ist, müssen Sie die Konfiguration syslog-ng
oder rsyslog
so einstellen, dass Protokolle, die vom Agenten nicht benötigt werden, nicht gespeichert werden. Ein Szenario mit vollem Datenträger unterbricht die Funktion des installierten Azure Monitor-Agenten.
Weitere Informationen finden Sie unter rsyslog oder syslog-ng.
Überprüfen der Weiterleitung von Syslog-Daten an Ihren Log Analytics-Arbeitsbereich
Nachdem Sie Ihr Linux-basiertes Gerät so konfiguriert haben, dass Protokolle an Ihre VM gesendet werden, stellen Sie sicher, dass der Azure Monitor-Agent Syslog-Daten an Ihren Arbeitsbereich weiterleitet.
Suchen Sie im Azure-Portal nach Microsoft Sentinel oder Azure Monitor, und öffnen Sie den jeweiligen Dienst.
Wenn Sie Microsoft Sentinel verwenden, wählen Sie den entsprechenden Arbeitsbereich aus.
Wählen Sie unter Allgemein die Option Protokolle aus.
Schließen Sie die Seite Abfragen, sodass die Registerkarte Neue Abfrage erscheint.
Führen Sie die folgende Abfrage aus. Ersetzen Sie den Computerwert durch den Namen Ihrer Linux-VM.
Syslog | where Computer == "vm-linux" | summarize by HostName
Bereinigen von Ressourcen
Bewerten Sie, ob Sie die Ressourcen wie die von Ihnen erstellte VM benötigen. Ressourcen, die Sie weiterhin ausführen, können Sie Geld kosten. Löschen Sie die nicht benötigten Ressourcen einzeln. Sie können auch die Ressourcengruppe löschen, um alle von Ihnen erstellten Ressourcen zu löschen.