Öğretici: Azure İzleyici Aracısı kullanarak Microsoft Sentinel ile Syslog verilerini Log Analytics çalışma alanına iletme
Bu öğreticide, Azure İzleyici Aracısı kullanarak Syslog verilerini çalışma alanınıza iletmek için bir Linux sanal makinesi (VM) yapılandıracaksınız. Bu adımlar, güvenlik duvarı ağ cihazı gibi bir aracı yükleyememenizi sağlayan Linux tabanlı cihazlardan veri toplamanızı ve izlemenizi sağlar.
Not
Container Insights artık AKS kümelerinizdeki Linux düğümlerinden syslog olaylarının otomatik olarak toplanmasını destekliyor. Daha fazla bilgi edinmek için bkz . Container Insights ile Syslog koleksiyonu.
Linux tabanlı cihazınızı Bir Linux VM'sine veri gönderecek şekilde yapılandırın. VM'de Azure İzleyici Aracısı, Syslog verilerini Log Analytics çalışma alanına iletir. Ardından Cihazı Log Analytics çalışma alanında depolanan verilerden izlemek için Microsoft Sentinel veya Azure İzleyici'yi kullanın.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Bir veri toplama kuralı oluşturun.
- Azure İzleyici Aracısı'nın çalıştığını doğrulayın.
- 514 numaralı bağlantı noktasında günlük alımını etkinleştirin.
- Syslog verilerinin Log Analytics çalışma alanınıza iletildiğini doğrulayın.
Önkoşullar
Bu öğreticideki adımları tamamlamak için aşağıdaki kaynaklara ve rollere sahip olmanız gerekir:
Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
Aracıyı dağıtmak ve veri toplama kurallarını oluşturmak için aşağıdaki rollere sahip bir Azure hesabı.
Yerleşik rol Kapsam Nedeni - Sanal Makine Katkıda Bulunanı
- Azure Bağlı Makine Kaynak Yöneticisi- Sanal makineler
- Ölçek kümeleri
- Azure Arc özellikli sunucularAracıyı dağıtmak için Microsoft.Resources/deployments/* eylemini içeren herhangi bir rol - Abonelik
- Kaynak grubu
- Mevcut veri toplama kuralıAzure Resource Manager şablonlarını dağıtmak için İzleme Katkıda Bulunanı - Abonelik
- Kaynak grubu
- Mevcut veri toplama kuralıVeri toplama kuralları oluşturmak veya düzenlemek için Bir Log Analytics çalışma alanı.
Azure İzleyici Aracısı'nın desteklendiği bir işletim sistemi çalıştıran bir Linux sunucusu.
- Azure İzleyici Aracısı için desteklenen Linux işletim sistemleri.
- Azure portalında bir Linux VM oluşturun veya Azure Arc'a bir şirket içi Linux sunucusu ekleyin.
Güvenlik duvarı ağ cihazı gibi olay günlüğü verileri oluşturan Linux tabanlı bir cihaz.
Syslog verilerini toplamak için Azure İzleyici Aracısını yapılandırma
Azure İzleyici Aracısı ile Syslog olaylarını toplama başlığı altında adım adım yönergelere bakın.
Azure İzleyici Aracısı'nın çalıştığını doğrulama
Microsoft Sentinel veya Azure İzleyici'de Azure İzleyici Aracısı'nın VM'nizde çalıştığını doğrulayın.
Azure portalında Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
Heartbeat | where Computer == "vm-linux" | take 10
514 numaralı bağlantı noktasında günlük alımını etkinleştirme
Günlük verilerini toplayan VM'nin Syslog kaynağına bağlı olarak 514 NUMARALı TCP veya UDP bağlantı noktasında alıma izin verdiğinden emin olun. Ardından vm'deki yerleşik Linux Syslog daemon'ını cihazlarınızdan Gelen Syslog iletilerini dinleyecek şekilde yapılandırın. Bu adımları tamamladıktan sonra, Linux tabanlı cihazınızı günlükleri VM'nize gönderecek şekilde yapılandırın.
Not
Güvenlik duvarı çalışıyorsa, uzak sistemlerin daemon'un syslog dinleyicisine erişmesine izin vermek için bir kural oluşturulması gerekir: systemctl status firewalld.service
- TCP 514 için ekle (bölgeniz/bağlantı noktanız/protokol senaryonuza bağlı olarak farklılık gösterebilir)
firewall-cmd --zone=public --add-port=514/tcp --permanent - udp 514 için ekle (bölgeniz/bağlantı noktanız/protokol senaryonuza bağlı olarak farklılık gösterebilir)
firewall-cmd --zone=public --add-port=514/udp --permanent - Yeni kuralların geçerli olduğundan emin olmak için güvenlik duvarı hizmetini yeniden başlatın
systemctl restart firewalld.service
Aşağıdaki iki bölümde Azure VM için gelen bağlantı noktası kuralı ekleme ve yerleşik Linux Syslog daemon'unun yapılandırılması ele alınıyor.
VM'de gelen Syslog trafiğine izin ver
Syslog verilerini bir Azure VM'ye iletiyorsanız 514 numaralı bağlantı noktasında alıma izin vermek için bu adımları izleyin.
Azure portalında Sanal Makineler arayın ve seçin.
VM’yi seçin.
Ayarlar'ın altında Ağ'ı seçin.
Gelen bağlantı noktası kuralı ekle’yi seçin.
Aşağıdaki değerleri girin.
Alan Değer Hedef bağlantı noktası aralıkları 514 Protokol Syslog kaynağına bağlı olarak TCP veya UDP Eylem İzin Ver Veri Akışı Adı AllowSyslogInbound Kalan alanlarda varsayılan değerleri kullanın.
Ekle'yi seçin.
Linux Syslog daemon'ını yapılandırma
Linux VM'nize bağlanın ve Linux Syslog daemon'unu yapılandırın. Örneğin, komutunu ağ ortamınız için gerektiği gibi uyarlayarak aşağıdaki komutu çalıştırın:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
Bu betik hem rsyslog.d hem de syslog-ng için değişiklik yapabilir.
Not
Aracının çalışmadığı Tam Disk senaryolarından kaçınmak için veya rsyslog yapılandırmasını gereksiz günlükleri depolamak üzere ayarlamanızı syslog-ng öneririz. Tam Disk senaryosu, yüklü Azure İzleyici Aracısı'nın işlevini kesintiye uğratır.
rsyslog veya syslog-ng hakkında daha fazla bilgi edinin.
Syslog verilerinin Log Analytics çalışma alanınıza iletildiğinden emin olun
Linux tabanlı cihazınızı vm'nize günlük gönderecek şekilde yapılandırdıktan sonra Azure İzleyici Aracısı'nın Syslog verilerini çalışma alanınıza ilettiğini doğrulayın.
Azure portalında Microsoft Sentinel veya Azure İzleyici'yi arayın ve açın.
Microsoft Sentinel kullanıyorsanız uygun çalışma alanını seçin.
Genel bölümünde Günlükler’i seçin.
Yeni Sorgu sekmesinin görünmesi için Sorgular sayfasını kapatın.
Bilgisayar değerini Linux VM'nizin adıyla değiştirdiğiniz aşağıdaki sorguyu çalıştırın.
Syslog | where Computer == "vm-linux" | summarize by HostName
Kaynakları temizleme
Oluşturduğunuz VM gibi kaynaklara ihtiyacınız olup olmadığını değerlendirin. Çalışır durumda bıraktığınız kaynaklar size pahalıya mal olabilir. İhtiyacınız olmayan kaynakları tek tek silin. Oluşturduğunuz tüm kaynakları silmek için kaynak grubunu da silebilirsiniz.