Tutorial: Reenvío de datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante el agente de Azure Monitor
En este tutorial configura una máquina virtual Linux para reenviar datos de Syslog al área de trabajo mediante el agente de Azure Monitor. Estos pasos permiten recopilar y supervisar datos de los dispositivos basados en Linux en los que no se puede instalar un agente, como un dispositivo de red de firewall.
Nota:
Container Insights ahora admite la recopilación automática de eventos de Syslog de nodos de Linux en los clústeres de AKS. Para más información, consulte Recopilación de Syslog con Container Insights.
Configure el dispositivo basado en Linux para enviar datos a una máquina virtual Linux. El agente de Azure Monitor de la máquina virtual reenvía los datos de Syslog al área de trabajo de Log Analytics. A continuación, use Microsoft Sentinel o Azure Monitor para supervisar el dispositivo desde los datos almacenados en el área de trabajo de Log Analytics.
En este tutorial, aprenderá a:
- Cree una regla de recopilación de datos.
- Compruebe que el agente de Azure Monitor se está ejecutando.
- Habilitación de la recepción de registros en el puerto 514.
- Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics.
Requisitos previos
Para completar los pasos de este tutorial, debe tener los siguientes recursos y roles:
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Una cuenta de Azure con los siguientes roles para implementar el agente y crear las reglas de recopilación de datos.
Rol integrado Ámbito Motivo - Colaborador de la máquina virtual
- Administrador de recursos de Azure Connected Machine- Máquinas virtuales
- Conjuntos de escalado
- Servidores habilitados para Azure ArcImplementación del agente Cualquier rol que incluya la acción Microsoft.Resources/deployments/* - Suscripción
- Grupo de recursos
- Regla de recopilación de datos existenteImplementación de las plantillas de Azure Resource Manager Colaborador de supervisión - Suscripción
- Grupo de recursos
- Regla de recopilación de datos existentePara crear o editar reglas de recopilación de datos Un área de trabajo de Log Analytics.
Un servidor Linux que ejecuta un sistema operativo que admita el agente de Azure Monitor.
Un dispositivo basado en Linux que genere datos de registro de eventos, como un dispositivo de red de firewall.
Configuración del agente de Azure Monitor para recopilar datos de Syslog
Consulte las instrucciones paso a paso en Recopilación de eventos de Syslog con el agente de Azure Monitor.
Comprobación de que el agente de Azure Monitor se está ejecutando
Desde Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se ejecuta en la máquina virtual.
En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.
Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.
En General, seleccione Registros.
Cierre la página Consultas para que aparezca la pestaña Nueva consulta.
Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.
Heartbeat | where Computer == "vm-linux" | take 10
Habilitación de la recepción de registros en el puerto 514
Compruebe que la máquina virtual que recopila los datos de registro permite la recepción en el puerto 514 TCP o UDP, según el origen de Syslog. Después, configure el demonio de Syslog Linux integrado en la máquina virtual para escuchar los mensajes de Syslog desde los dispositivos. Después de completar esos pasos, configure el dispositivo basado en Linux para enviar los registros a la máquina virtual.
Nota:
Si el firewall se está ejecutando, es necesario crear una regla para permitir que los sistemas remotos accedan al agente de escucha de syslog del demonio: systemctl status firewalld.service
- Adición para tcp 514 (la zona, puerto o protocolo puede diferir en función del escenario)
firewall-cmd --zone=public --add-port=514/tcp --permanent
- Adición para udp 514 (la zona, puerto o protocolo puede diferir en función del escenario)
firewall-cmd --zone=public --add-port=514/udp --permanent
- Reinicio del servicio de firewall para asegurarse de que las nuevas reglas surtan efecto
systemctl restart firewalld.service
En las dos secciones siguientes se explica cómo agregar una regla de puerto de entrada para una máquina virtual de Azure y configurar el demonio de Syslog Linux integrado.
Tráfico de Syslog entrante permitido en la máquina virtual
Si va a reenviar datos de Syslogs a una máquina virtual de Azure, siga estos pasos para permitir la recepción en el puerto 514.
En Azure Portal, busque y seleccione Máquinas virtuales.
Seleccione la máquina virtual.
En Configuración, seleccione Redes.
Seleccione Agregar regla de puerto de entrada.
Escriba los siguientes valores:
Campo Value Intervalos de puertos de destino 514 Protocolo TCP o UDP en función del origen de Syslog Acción Allow NOMBRE AllowSyslogInbound Use los valores predeterminados en el resto de los campos.
Seleccione Agregar.
Configuración del demonio de Syslog de Linux
Conéctese a la máquina virtual Linux y configure el demonio de Syslog de Linux. Por ejemplo, ejecute el siguiente comando, adaptando el comando según sea necesario para el entorno de red:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Este script realiza cambios para rsyslog.d y syslog-ng.
Nota:
Para evitar escenarios de disco completo en los que el agente no puede funcionar, se recomienda establecer la configuración de syslog-ng
o rsyslog
en no almacenar los registros innecesarios. Un escenario de disco completo interrumpe la función del agente de Azure Monitor instalado.
Obtenga más información sobre rsyslog o syslog-ng.
Comprobación de que los datos de Syslog se reenvían al área de trabajo de Log Analytics
Después de configurar el dispositivo basado en Linux para enviar registros a la máquina virtual, compruebe que el agente de Azure Monitor reenvía los datos de Syslog al área de trabajo.
En Azure Portal, busque y abra Microsoft Sentinel o Azure Monitor.
Si usa Microsoft Sentinel, seleccione el área de trabajo adecuada.
En General, seleccione Registros.
Cierre la página Consultas para que aparezca la pestaña Nueva consulta.
Ejecute la siguiente consulta, donde se reemplaza el valor del equipo por el nombre de la máquina virtual Linux.
Syslog | where Computer == "vm-linux" | summarize by HostName
Limpieza de recursos
Evalúe si necesita los recursos como la máquina virtual que ha creado. Los recursos que deje en ejecución pueden suponer costos. Elimine los recursos que no necesite uno a uno. También puede eliminar el grupo de recursos para eliminar todos los recursos que ha creado.