Tutoriel : Transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’Agent Azure Monitor
Dans ce tutoriel, vous allez configurer une machine virtuelle Linux pour transférer des données Syslog vers votre espace de travail à l’aide de l’Agent Azure Monitor. Ces étapes vous permettent de collecter et surveiller les données d’appareils Linux sur lesquels vous ne pouvez pas installer un agent, comme un appareil réseau de pare-feu.
Remarque
Container Insights prend désormais en charge la collecte automatique des événements Syslog à partir des nœuds Linux de vos clusters AKS. Pour en savoir plus, consultez Collection Syslog avec Container Insights.
Configurez votre appareil linux pour envoyer des données à une machine virtuelle Linux. L’Agent Azure Monitor sur la machine virtuelle transfère les données Syslog vers l’espace de travail Log Analytics. Utilisez ensuite Microsoft Sentinel ou Azure Monitor pour surveiller l’appareil à partir des données stockées dans l’espace de travail Log Analytics.
Dans ce tutoriel, vous allez apprendre à :
- Créer une règle de collecte de données.
- Vérifiez que l’Agent Azure Monitor est en cours d’exécution.
- Activez la réception de journal sur le port 514.
- Vérifiez que les données Syslog sont transférées vers votre espace de travail Log Analytics.
Prérequis
Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants :
Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Un compte Azure avec les rôles suivants pour déployer l’agent et créer les règles de collecte de données.
Rôle intégré Étendue Motif - Contributeur de machine virtuelle
- Administrateur de ressources de machine connectée Azure- Machines virtuelles
- Groupes identiques
- Serveurs avec Azure ArcPour déployer l’agent Tout rôle incluant l’action Microsoft.Resources/deployments/* - Abonnement
- Groupe de ressources
- Règle de collecte de données existantePour déployer des modèles Azure Resource Manager Contributeur de surveillance - Abonnement
- Groupe de ressources
- Règle de collecte de données existantePour créer ou modifier des règles de collecte de données Un espace de travail Log Analytics.
Un serveur Linux exécutant un système d’exploitation prenant en charge l’Agent Azure Monitor.
Un appareil Linux qui génère des données de journal des événements comme un appareil réseau de pare-feu.
Configurez l’agent Azure Monitor pour collecter des données Syslog
Consultez les instructions pas à pas dans Collecter des événements Syslog avec l’agent Azure Monitor.
Vérifier que l’Agent Azure Monitor est en cours d’exécution
Dans Microsoft Sentinel ou Azure Monitor, vérifiez que l’Agent Azure Monitor s’exécute sur votre machine virtuelle.
Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.
Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.
Sous Général, sélectionnez Journaux.
Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.
Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Activer la réception de journal sur le port 514
Vérifiez que la machine virtuelle qui collecte les données du journal autorise la réception sur le port 514 TCP ou UDP en fonction de la source Syslog. Ensuite, configurez le démon Syslog Linux intégré sur la machine virtuelle pour écouter les messages Syslog de vos appareils. Une fois ces étapes terminées, configurez votre appareil Linux pour envoyer des journaux à votre machine virtuelle.
Remarque
Si le pare-feu est en cours d’exécution, vous devez créer une règle pour permettre aux systèmes distants d’atteindre l’écouteur syslog du démon : systemctl status firewalld.service
- Ajoutez pour TCP 514 (votre zone/port/protocole peut différer selon votre scénario) :
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Ajoutez pour UDP 514 (votre zone/port/protocole peut différer selon votre scénario) :
firewall-cmd --zone=public --add-port=514/udp --permanent
- Redémarrez le service de pare-feu pour que les nouvelles règles prennent effet :
systemctl restart firewalld.service
Les deux sections suivantes expliquent comment ajouter une règle de port entrant pour une machine virtuelle Azure et configurer le démon Syslog intégré Linux.
Autoriser le trafic Syslog entrant sur la machine virtuelle
Si vous transférez des données Syslog vers une machine virtuelle Azure, procédez comme suit pour autoriser la réception sur le port 514.
Dans le portail Azure, recherchez et sélectionnez Machines virtuelles.
Sélectionnez la machine virtuelle.
Sous Paramètres, sélectionnez Mise en réseau.
Sélectionnez Ajouter une règle de port d’entrée.
Saisissez les valeurs suivantes.
Champ Valeur Plages de ports de destination 514 Protocol TCP ou UDP en fonction de la source Syslog Action Allow Nom AllowSyslogInbound Utilisez les valeurs par défaut pour les autres champs.
Sélectionnez Ajouter.
Configurer le démon Syslog Linux
Connectez-vous à votre machine virtuelle Linux et configurez le démon Syslog Linux. Par exemple, exécutez la commande suivante, en l’adaptant à votre environnement réseau :
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Ce script peut apporter des modifications pour rsyslog.d et syslog-ng.
Remarque
Pour éviter scénarios de disque complet où l’agent ne peut pas fonctionner, vous devez définir la configuration syslog-ng
ou rsyslog
pour ne pas stocker les journaux, ce qui n’est pas nécessaire par l’agent. Un scénario de disque complet interrompt le fonctionnement de l’Agent Azure Monitor installé.
En savoir plus sur rsyslog ou syslog-ng.
Vérifier que les données Syslog sont transférées vers votre espace de travail Log Analytics
Après avoir configuré votre appareil Linux pour envoyer des journaux à votre machine virtuelle, vérifiez que l’Agent Azure Monitor transfère des données Syslog à votre espace de travail.
Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel ou Azure Monitor.
Si vous utilisez Microsoft Sentinel, sélectionnez l’espace de travail approprié.
Sous Général, sélectionnez Journaux.
Fermez la page Requêtes afin que l’onglet Nouvelle requête s’affiche.
Exécutez la requête suivante où vous remplacez la valeur de l’ordinateur par le nom de votre machine virtuelle Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Nettoyer les ressources
Évaluez si vous avez besoin des ressources telles que la machine virtuelle que vous avez créée. Les ressources que vous laissez fonctionner peuvent vous coûter cher. Supprimez les ressources dont vous n’avez pas besoin individuellement. Vous pouvez également supprimer le groupe de ressources afin de supprimer toutes les ressources que vous avez créées.