Esercitazione: Inoltrare i dati Syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure
In questa esercitazione viene configurata una macchina virtuale Linux (VM) per inoltrare i dati Syslog all'area di lavoro usando l'agente di Monitoraggio di Azure. Questi passaggi consentono di raccogliere e monitorare i dati dai dispositivi basati su Linux in cui non è possibile installare un agente come un dispositivo di rete firewall.
Nota
Container Insights supporta ora la raccolta automatica di eventi Syslog dai nodi Linux nei cluster del servizio Azure Kubernetes. Per altre informazioni, vedere Raccolta Syslog con Container Insights.
Configurare il dispositivo basato su Linux per inviare dati a una macchina virtuale Linux. L'agente di Monitoraggio di Azure nella macchina virtuale inoltra i dati Syslog all'area di lavoro Log Analytics. Usare quindi Microsoft Sentinel o Monitoraggio di Azure per monitorare il dispositivo dai dati archiviati nell'area di lavoro Log Analytics.
In questa esercitazione apprenderai a:
- Creare una regola di raccolta dati.
- Verificare che l'agente di Monitoraggio di Azure sia in esecuzione.
- Abilitare la ricezione dei log sulla porta 514.
- Verificare che i dati Syslog vengano inoltrati all'area di lavoro Log Analytics.
Prerequisiti
Per completare i passaggi di questa esercitazione, è necessario disporre delle risorse e dei ruoli seguenti:
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account Azure con i ruoli seguenti per implementare l'agente e creare le regole di raccolta dati.
Ruolo predefinito Ambito Motivo - Collaboratore macchina virtuale
- Amministratore delle risorse di Azure Connected Machine- Macchine virtuali
- Set di scalabilità
- Server abilitati per Azure ArcPer implementare l'agente Qualsiasi ruolo che include l'azione Microsoft.Resources/deployments/* - Sottoscrizione
- Gruppo di risorse
- Regola di raccolta dati esistentePer implementare modelli di Azure Resource Manager Collaboratore per il monitoraggio - Sottoscrizione
- Gruppo di risorse
- Regola di raccolta dati esistentePer creare o modificare le regole di raccolta dati Un'area di lavoro Log Analytics.
Un server Linux che esegue un sistema operativo che supporta l'agente di Monitoraggio di Azure.
Un dispositivo basato su Linux che genera dati del registro eventi come un dispositivo di rete firewall.
Configurare l'agente di Monitoraggio di Azure per raccogliere dati Syslog
Vedere le istruzioni dettagliate in Raccogliere eventi Syslog con l'agente di Monitoraggio di Azure.
Verificare che l'agente di Monitoraggio di Azure sia in esecuzione
In Microsoft Sentinel o Monitoraggio di Azure, verificare che l'agente di Monitoraggio di Azure sia in esecuzione nella macchina virtuale.
Nel portale di Azure, cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.
Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.
In Generale, selezionare Log.
Chiudere la pagina Query in modo che compaia la scheda Nuova query.
Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Abilitare la ricezione dei log sulla porta 514
Verificare che la macchina virtuale che raccoglie i dati di log consenta la ricezione sulla porta 514 TCP o UDP a seconda dell'origine Syslog. Configurare quindi il daemon Syslog Linux predefinito nella macchina virtuale per l'ascolto dei messaggi Syslog dai dispositivi. Dopo aver completato questi passaggi, configurare il dispositivo basato su Linux per inviare i log alla macchina virtuale.
Nota
Se il firewall è in esecuzione, sarà necessario creare una regola per consentire ai sistemi remoti di raggiungere il listener syslog del daemon: systemctl status firewalld.service
- Aggiunta per TCP 514 (zona/porta/protocollo possono variare a seconda dello scenario)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Aggiunta per UPD 514 (zona/porta/protocollo possono variare a seconda dello scenario)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Riavviare il servizio firewall per assicurarsi che le nuove regole vengano applicate
systemctl restart firewalld.service
Le due sezioni seguenti illustrano come aggiungere una regola di porta in ingresso per una macchina virtuale di Azure e configurare il daemon Syslog Linux predefinito.
Consentire il traffico Syslog in ingresso nella macchina virtuale
Se si inoltrano dati Syslog a una macchina virtuale di Azure, seguire questa procedura per consentire la ricezione sulla porta 514.
Nel portale di Azure, cercare e selezionare Macchine virtuali.
Selezionare la macchina virtuale.
In Impostazioni selezionare Rete.
Selezionare Aggiungi regola porta in ingresso.
Immettere i valori seguenti.
Campo valore Intervalli porte di destinazione 514 Protocollo TCP o UDP a seconda dell'origine Syslog Azione Consenti Nome AllowSyslogInbound Usare i valori predefiniti per i campi rimanenti.
Selezionare Aggiungi.
Configurare il daemon Syslog Linux
Connettersi alla macchina virtuale Linux e configurare il daemon Syslog Linux. Ad esempio, eseguire il comando seguente adattando il comando in base alle esigenze per l’ambiente di rete:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Questo script può apportare modifiche sia per rsyslog.d che per syslog-ng.
Nota
Per evitare scenari con disco completo in cui l'agente non può funzionare, è necessario impostare o rsyslog
la syslog-ng
configurazione per non archiviare i log, che non sono necessari per l'agente. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato.
Ulteriori informazioni su rsyslog o syslog-ng.
Verificare che i dati Syslog vengano inoltrati all'area di lavoro Log Analytics
Dopo aver configurato il dispositivo basato su Linux per inviare i log alla macchina virtuale, verificare che l'agente di Monitoraggio di Azure stia inoltrando i dati Syslog all'area di lavoro.
Nel portale di Azure, cercare e aprire Microsoft Sentinel o Monitoraggio di Azure.
Se si usa Microsoft Sentinel, selezionare l'area di lavoro appropriata.
In Generale, selezionare Log.
Chiudere la pagina Query in modo che compaia la scheda Nuova query.
Eseguire la query seguente in cui sostituire il valore del computer con il nome della macchina virtuale Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Pulire le risorse
Valutare se sono necessarie risorse come la macchina virtuale creata. L'esecuzione continua delle risorse può avere un costo. Eliminare le risorse non necessarie singolarmente. È anche possibile eliminare il gruppo di risorse per eliminare tutte le risorse create.