Condividi tramite


Esercitazione: Inoltrare i dati Syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure

In questa esercitazione viene configurata una macchina virtuale Linux (VM) per inoltrare i dati Syslog all'area di lavoro usando l'agente di Monitoraggio di Azure. Questi passaggi consentono di raccogliere e monitorare i dati dai dispositivi basati su Linux in cui non è possibile installare un agente come un dispositivo di rete firewall.

Nota

Container Insights supporta ora la raccolta automatica di eventi Syslog dai nodi Linux nei cluster del servizio Azure Kubernetes. Per altre informazioni, vedere Raccolta Syslog con Container Insights.

Configurare il dispositivo basato su Linux per inviare dati a una macchina virtuale Linux. L'agente di Monitoraggio di Azure nella macchina virtuale inoltra i dati Syslog all'area di lavoro Log Analytics. Usare quindi Microsoft Sentinel o Monitoraggio di Azure per monitorare il dispositivo dai dati archiviati nell'area di lavoro Log Analytics.

In questa esercitazione apprenderai a:

  • Creare una regola di raccolta dati.
  • Verificare che l'agente di Monitoraggio di Azure sia in esecuzione.
  • Abilitare la ricezione dei log sulla porta 514.
  • Verificare che i dati Syslog vengano inoltrati all'area di lavoro Log Analytics.

Prerequisiti

Per completare i passaggi di questa esercitazione, è necessario disporre delle risorse e dei ruoli seguenti:

Configurare l'agente di Monitoraggio di Azure per raccogliere dati Syslog

Vedere le istruzioni dettagliate in Raccogliere eventi Syslog con l'agente di Monitoraggio di Azure.

Verificare che l'agente di Monitoraggio di Azure sia in esecuzione

In Microsoft Sentinel o Monitoraggio di Azure, verificare che l'agente di Monitoraggio di Azure sia in esecuzione nella macchina virtuale.

  1. Nel portale di Azure, cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.

  2. Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.

  3. In Generale, selezionare Log.

  4. Chiudere la pagina Query in modo che compaia la scheda Nuova query.

  5. Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.

    Heartbeat
    | where Computer == "vm-linux"
    | take 10
    

Abilitare la ricezione dei log sulla porta 514

Verificare che la macchina virtuale che raccoglie i dati di log consenta la ricezione sulla porta 514 TCP o UDP a seconda dell'origine Syslog. Configurare quindi il daemon Syslog Linux predefinito nella macchina virtuale per l'ascolto dei messaggi Syslog dai dispositivi. Dopo aver completato questi passaggi, configurare il dispositivo basato su Linux per inviare i log alla macchina virtuale.

Nota

Se il firewall è in esecuzione, sarà necessario creare una regola per consentire ai sistemi remoti di raggiungere il listener syslog del daemon: systemctl status firewalld.service

  1. Aggiunta per TCP 514 (zona/porta/protocollo possono variare a seconda dello scenario) firewall-cmd --zone=public --add-port=514/tcp --permanent
  2. Aggiunta per UPD 514 (zona/porta/protocollo possono variare a seconda dello scenario) firewall-cmd --zone=public --add-port=514/udp --permanent
  3. Riavviare il servizio firewall per assicurarsi che le nuove regole vengano applicate systemctl restart firewalld.service

Le due sezioni seguenti illustrano come aggiungere una regola di porta in ingresso per una macchina virtuale di Azure e configurare il daemon Syslog Linux predefinito.

Consentire il traffico Syslog in ingresso nella macchina virtuale

Se si inoltrano dati Syslog a una macchina virtuale di Azure, seguire questa procedura per consentire la ricezione sulla porta 514.

  1. Nel portale di Azure, cercare e selezionare Macchine virtuali.

  2. Selezionare la macchina virtuale.

  3. In Impostazioni selezionare Rete.

  4. Selezionare Aggiungi regola porta in ingresso.

  5. Immettere i valori seguenti.

    Campo valore
    Intervalli porte di destinazione 514
    Protocollo TCP o UDP a seconda dell'origine Syslog
    Azione Consenti
    Nome AllowSyslogInbound

    Usare i valori predefiniti per i campi rimanenti.

  6. Selezionare Aggiungi.

Configurare il daemon Syslog Linux

Connettersi alla macchina virtuale Linux e configurare il daemon Syslog Linux. Ad esempio, eseguire il comando seguente adattando il comando in base alle esigenze per l’ambiente di rete:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

Questo script può apportare modifiche sia per rsyslog.d che per syslog-ng.

Nota

Per evitare scenari con disco completo in cui l'agente non può funzionare, è necessario impostare o rsyslog la syslog-ng configurazione per non archiviare i log, che non sono necessari per l'agente. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato. Ulteriori informazioni su rsyslog o syslog-ng.

Verificare che i dati Syslog vengano inoltrati all'area di lavoro Log Analytics

Dopo aver configurato il dispositivo basato su Linux per inviare i log alla macchina virtuale, verificare che l'agente di Monitoraggio di Azure stia inoltrando i dati Syslog all'area di lavoro.

  1. Nel portale di Azure, cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.

  2. Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.

  3. In Generale, selezionare Log.

  4. Chiudere la pagina Query in modo che compaia la scheda Nuova query.

  5. Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.

    Syslog
    | where Computer == "vm-linux"
    | summarize by HostName
    

Pulire le risorse

Valutare se sono necessarie risorse come la macchina virtuale creata. L'esecuzione continua delle risorse può avere un costo. Eliminare le risorse non necessarie singolarmente. È anche possibile eliminare il gruppo di risorse per eliminare tutte le risorse create.