يرشدك هذا الدليل إلى كيفية إعداد إعادة توجيه سجل النظام لـ Microsoft Sentinel باستخدام ثلاثة تكوينات شائعة. لا تحتاج إلى أن تكون خبيرًا في Linux للمتابعة.
ما هو سجل النظام
Syslog هو بروتوكول تسجيل قياسي معرّف في RFC 5424 يحدد كيفية تنسيق رسائل السجل ونقلها عبر الشبكة.
افتراضيًا، يستخدم Syslog منفذ UDP 514، على الرغم من أنه يمكن أن يعمل أيضًا عبر TCP - عادةً على المنفذ 6514 عند تأمينه باستخدام TLS. إنها طريقة خفيفة وفعالة لتجميع التسجيل من مجموعة متنوعة من المصادر.
يتم دعم Syslog على نطاق واسع عبر:
أنظمة يونكس/لينكس
أجهزة الشبكة مثل جدران الحماية وأجهزة التوجيه
العديد من منتجات الأمان وتطبيقات المؤسسات
في ما يلي مثال لرسالة سجل النظام الأولية:
<134>1 1515988859.626061236 تدفقات الأجهزة src=172.21.84.107 dst=10.52.193.137 ماك = 5C: E0:c 5:22:85:بروتوكول E4 = منفذ tcp = 50395 dport=443 نمط: السماح للجميع
ما هي إعادة توجيه سجل النظام
تقوم إعادة توجيه Syslog بإرسال رسائل السجل من جهاز مثل الخادم أو جهاز التوجيه أو جدار الحماية إلى نظام بعيد مثل خادم السجل أو SIEM. يتيح ذلك التسجيل المركزي لتسهيل المراقبة والتحليل.
إنه مهم بشكل خاص لأن معظم جدران الحماية ترسل سجلات بصيغة syslog.
مثال لإعداد سجل نظام FortiGate
ما هي أداة إعادة توجيه سجل النظام
عادةً ما تكون أداة إعادة توجيه سجل النظام عبارة عن جهاز Linux يتلقى السجلات بتنسيق syslog ويعيد توجيهها عبر الشبكة إلى منصة مراقبة مثل SIEM. يمكن لبعض وكلاء إعادة التوجيه أيضًا تحليل الرسائل أو تصفيتها أو تحويلها قبل إرسالها.
تتضمن أدوات إعادة توجيه سجل النظام الشائعة rsyslog وsyslog-ng وNXlog وGraylog.
في هذا الدليل، سنستخدم rsyslog، وهو خيار شائع وخفيف يتم تضمينه افتراضيًا في معظم توزيعات Linux.
إعادة توجيه سجل النظام لميكروسوفت سنتينل
على مستوى عالٍ، تعمل إعادة توجيه سجل النظام إلى Microsoft Sentinel على النحو التالي:
تم تكوين مصدر البيانات (مثل جدار الحماية أو الخادم) لإرسال رسائل سجل النظام إلى جهاز Linux يقوم بتشغيل برنامج syslog الخفي. في هذا الدليل، هذا هو rsyslog.
يقوم عامل Azure Monitor (AMA) على هذا الجهاز بتجميع رسائل سجل النظام.
تقوم AMA بعد ذلك بإعادة توجيه السجلات إلى Microsoft Sentinel عبر قاعدة تجميع البيانات المكونة (DCR).
عرض عالي المستوى لإعادة توجيه سجل النظام لـ MS Sentinel
الاعتبارات
قبل إعداد أداة إعادة توجيه سجل النظام، يجدر التفكير في بعض النقاط الأساسية:
حجم السجل: كم عدد السجلات التي ترسلها؟ سيعتمد حجم ومواصفات جهاز VM الخاص بك بشكل كبير على معدل نقل السجلات.
موقع النشر: هل سيتم تشغيل وكلاء الشحن محليًا أم في السحابة؟
الموثوقية: هل يكفي جهاز افتراضي واحد، أم أنك بحاجة إلى إعداد متوازن التحميل للتوافر العالي؟
في الإنتاج، هناك اعتبارات فنية أخرى أيضًا مثل UDP مقابل TCP، و TLS المتبادل، والرابط الخاص، وفحص حركة المرور، والتحكم في الوصول، والتدقيق، والتنبيه على المصادر الصامتة والمزيد.
ولكن بصراحة في معظم الحالات، يتم تحديد ذلك من خلال بنية الأمان والشبكة الأوسع. إذا كنت قد بدأت للتو، فلا تشدد عليهم كثيرًا:)
الإعداد التجريبي
في هذا العرض التوضيحي، سأتطرق إلى إعداد VNet واحد بسيط:
يقوم جهاز Ubuntu VM واحد بإنشاء سجلات بتنسيق سجل النظام.
يتلقى جهاز Ubuntu VM آخر، يعمل بنظام rsyslog، هذه السجلات.
يقوم هذا الجهاز الظاهري بعد ذلك بإعادة توجيه السجلات إلى Microsoft Sentinel باستخدام عامل Azure Monitor.
لا يوجد تعقيد، لا HA، لا Bicep، لا Terraform مجرد مثال مباشر لإظهار كيفية عمل إعادة توجيه syslog من البداية إلى النهاية.
إعداد تجريبي واحد لـ VNET
[اختياري] مولد سجل النظام
هذه الخطوة اختيارية ولكنها مفيدة للاختبار. يمكنك محاكاة حركة مرور سجل النظام باستخدام أدوات مثل المسجل أو echo أو عن طريق تصدير البيانات من تطبيق يدعم إخراج syslog.
سنبدأ بإنشاء VM الذي سيولد رسائل سجل النظام. بالنسبة لهذا العرض التوضيحي، سنستخدم Standard_D2LS_v5 VM (2 وحدة معالجة مركزية وذاكرة 4 جيجا بايت).
انتقل إلى portal.azure.com → الأجهزة الافتراضية → إنشاء.
فيما يلي إعدادات التكوين الرئيسية للتركيز عليها - سنتخطى الإعدادات الافتراضية ونسلط الضوء فقط على ما يهم.
حدد خادم أوبونتو 22.04:
أوبونتو 22.04
2. قم بتعيين منافذ الشبكة العامة إلى «لا شيء» (سنقوم بتغيير ذلك لاحقًا):
لا توجد منافذ واردة عامة
3. اختياري: تمكين إيقاف التشغيل التلقائي ضمن الإدارة:
إيقاف تشغيل تلقائي اختياري
قم بإنشاء VM. سيُطلب منك تنزيل مفتاح SSH.
4. قم بإنشاء برنامج نصي يقوم بإنشاء بيانات سجل النظام الوهمية. سيقوم البرنامج النصي أدناه بما يلي:
مقبس استيراد
وقت الاستيراد
استيراد عشوائي
# التكوين
SYSLOG_SERVER = «عنوان IP الخاص بالمجمع الخاص بك» # التغيير إلى عنوان IP الخاص بخادم syslog
SYSLOG_PORT = 514 # منفذ UDP لسجل النظام
EPS = 20 # حدثًا في الثانية
المرفق = 20 # محلي 4
الخطورة = 6 # معلوماتية
PRI = (المنشأة * 8) + الخطورة
# نماذج لتجمعات البيانات
source_ips = ['172.21.84.107'، '192.168.1.10'، '10.0.0.55'، '192.168.100.23']
dest_ips = ['10.52.193.137'، '8.8.8.8'، '172.16.0.1'، '192.168.1.100']
أجهزة ماكينتوش = ['5C:E0:C 5:22:85:E4"، '00:1 A: 2B:3C:4D:5E'، 'D4:EE: 07:11:22:33']
البروتوكولات = ['tcp'، 'udp'، 'icmp']
الإجراءات = [«السماح للجميع»، «رفض الكل»، «السماح بـ http»، «رفض ftp»]
ديف get_local_ip ():
«" «محاولة الحصول على عنوان IP المحلي المستخدم للوصول إلى SYSLOG_SERVER."»
حاول:
s = مقبس. مقبس (مقبس.af_inet، مقبس.sock_dgram)
# لا يلزم أن تكون قابلة للوصول؛ فقط للحصول على الواجهة الخارجية
s.connect (خادم سجل النظام، منفذ سجل النظام))
local_ip = s.getsockname () [0]
s.close ()
إرجاع local_ip
باستثناء الاستثناء:
إرجاع '0.0.0.0'
قم بإنشاء رسالة شعار النظام ():
الطابع الزمني = time.time ()
الإصدار = 1
نوع الجهاز = «جهاز»
log_type = «التدفقات»
src_ip = اختيار عشوائي (source_ips)
dst_ip = اختيار عشوائي (dest_ips)
ماك = راندوم تشويس (أجهزة ماكينتوش)
بروتوكول = اختيار عشوائي (بروتوكولات)
sport = random.randint (1024، 65535) إذا كان البروتوكول في ['tcp'، 'udp'] وإلا 0
dport = الاختيار العشوائي ([80، 443، 53، 22، 0]) إذا كان البروتوكول في ['tcp'، 'udp'] آخر 0
النمط = الاختيار العشوائي (الإجراءات)
msg = (f"< {PRI} > {الإصدار} {الطابع الزمني: .9f} {نوع الجهاز} {log_type}»
f"src= {src_ip} dst= {dst_ip} mac= {mac} بروتوكول = {بروتوكول}»
«sport= {sport} sport= {dport} النمط: {pattern}»)
رسالة العودة
حذف رسائل send_syslogs (eps):
جورب = مقبس. مقبس (مقبس. AF_inet، مقبس.sock_dgram)
الفاصل الزمني = 1.0/eps
local_ip = get_local_ip ()
طباعة («إرسال رسائل سجل النظام على {eps} EPS إلى {SYSLOG_SERVER}: {SYSLOG_PORT}... (اضغط على Ctrl+C للتوقف)»)
حاول:
بينما صحيح:
msg = إنشاء رسالة سجل النظام ()
sock.send إلى (msg.encode ()، (خادم تسجيل النظام، SYSLOG_PORT))
طباعة («مرسلة من {local_ip} إلى {SYSLOG_SERVER}: {msg}»)
الوقت. النوم (الفاصل الزمني)
باستثناء مقاطعة لوحة المفاتيح:
طباعة (»\nتم إيقافها من قبل المستخدم.»)
أخيرًا:
سوك.كلوز ()
إذا كان __name__ == «__main__»:
إرسال رسائل سجل النظام (EPS)
5. انتقل إلى «إعدادات الشبكة» وأنشئ قاعدة منفذ واردة جديدة للسماح لـ SSH بالمرور عبر المنفذ 22 من عنوان IP الخاص بك:
مثال لقاعدة NSG التي تسمح لـ SSH بالدخول
6. استخدم SSH للاتصال بـ VM الخاص بك:
ssh -i 'مفتاح ssh الخاص بك' اسم المستخدم الخاص بك @public -ip-of-your-vm
7. قم بإنشاء ملف.py باستخدام محرر نصوص، على سبيل المثال nano:
نانو syslog_generator.py
8. قم بلصق محتوى البرامج النصية في الملف، واستبدل عنوان IP بعنوان IP الخاص بالمجمع واحفظه. قم بتشغيل الملف لمعرفة ما إذا كان يعمل بشكل صحيح. يجب أن يبدو إخراج وحدة التحكم كما يلي:
بيثون 3 syslog_generator.py
مثال لمخرجات وحدة التحكم
مثالي. يعمل البرنامج النصي لمولد سجل النظام الخاص بنا. الآن سنقوم بإنشاء وكلاء شحن syslog.
سيناريوهات معيد توجيه سجل النظام
السيناريو 1: مُعاد توجيه سجل النظام الفردي المعروف أيضًا باسم «Big Boy»
في بعض الأحيان تريد فقط أن تجعل الأمر بسيطًا وأنا أحترم ذلك. خادم كبير واحد يعمل كوكيل مخصص لسجل النظام الخاص بك. يعمل هذا الإعداد جيدًا مع:
العروض التوضيحية والاختبار
بيئات إنتاج أصغر
البيئات ذات حجم الأحداث المتوقع أو المنخفض
هناك شيء أساسي يجب أخذه في الاعتبار: تتم إعادة توجيه السجل إلى Microsoft Sentinel من خلال عامل Azure Monitor (AMA)، الذي يبلغ الحد الموصى به 10000 حدث في الثانية (EPS) لكل وكيل. في حين أنه يمكن من الناحية الفنية التعامل مع ما يصل إلى 20,000 EPS، فإن 10,000 EPS هو السقف المدعوم والموصى به.
📚 إرشادات أداء AMA
هذا يعني أن بنية وحدة إعادة التوجيه الفردية يمكن أن تكون خيارًا جيدًا فقط إذا ظل إجمالي حجم سجل النظام الوارد أقل من هذا الحد. إذا كان الأمر كذلك، فإن إعداد «Big Boy» يكون بسيطًا وينجز المهمة.
إعداد VM لسجل النظام الفردي.
السيناريو 2: أجهزة افتراضية متوازنة التحميل
بالنسبة لبيئات الإنتاج، يعد إعداد وكيل شحن سجل النظام المتوازن خيارًا قويًا. يتضمن ذلك نشر اثنين أو أكثر من الأجهزة الافتراضية خلف Azure Load Balancer الداخلي، حيث يقوم كل منهما بتشغيل برنامج خفي لسجل النظام مثل rsyslog.
يقدم هذا النهج:
تحسين الموثوقية وقابلية التوسع
التكرار، في حالة تعطل أحد وكلاء الشحن
مسار نظيف للتحجيم الأفقي في حالة نمو حجم السجل
إنها فعالة بشكل خاص عندما تكون أحجام السجلات قابلة للتنبؤ (وبصراحة في معظم البيئات، تكون كذلك). يحقق هذا الإعداد توازنًا جيدًا بين البساطة والاستعداد للإنتاج.
تحميل أجهزة افتراضية متوازنة
السيناريو 3: مجموعة مقياس VM المتوازن للتحميل (VMSS)
مجموعة مقاييس الأجهزة الافتراضية (VMSS) هي مجموعة ديناميكية من الأجهزة الافتراضية التي يمكنها التوسع تلقائيًا أو تصغيرها استنادًا إلى استخدام الموارد مثل تحميل وحدة المعالجة المركزية أو المقاييس المخصصة.
في سياق إعادة توجيه سجل النظام، يعني هذا:
عندما يتجاوز الحمل على وكلاء الشحن الحاليين حدًا معينًا، تتم إضافة VM جديد تلقائيًا للتعامل مع حركة المرور.
عند انخفاض الحمل، يتم إلغاء تزويد الأجهزة الافتراضية، مما يؤدي إلى توفير التكاليف والحفاظ على كفاءة النظام.
يجمع هذا الإعداد بين قابلية التوسع والمرونة والأتمتة، مما يجعله مثاليًا للبيئات الأكبر أو الأكثر ديناميكية حيث يمكن أن يرتفع حجم السجل أو يتذبذب. يتم وضع VMSS خلف موازن التحميل الداخلي، تمامًا كما هو الحال في سيناريو VM الثابت، ولكن بمرونة إضافية.
نظام VMSS متوازن التحميل
بيج بوي (VM واحد)
لنشر أداة إعادة توجيه سجل النظام واحدة، اتبع نفس الخطوات الموضحة سابقًا لإنشاء VM لمولد syslog، ولكن هذه المرة ستعمل بمثابة وكيل إعادة التوجيه.
قم بإنشاء VM:
انتقل إلى portal.azure.com → الأجهزة الافتراضية → إنشاء.
اختر أوبونتو 22.04 LTS كصورة.
حدد الحجم بناءً على حجم السجل المتوقع (على سبيل المثال، Standard_D2s_v3 أو أكبر).
2. قم بتثبيت موصل Syslog في Sentinel:
تثبيت حزمة محتوى سجل النظام
3. قم بإنشاء DCR:
انتقل إلى Microsoft Sentinel وافتح مساحة العمل الخاصة بك.
في القائمة اليسرى، حدد موصلات البيانات.
ابحث عن «Syslog عبر AMA» في القائمة وانقر لفتح صفحة الموصل.
انقر فوق إنشاء DCR لبدء عملية الإعداد.
تحدد قواعد جمع البيانات (DCRs) البيانات التي يتم جمعها ومن أي موارد.
في المعالج، حدد VM الذي قمت بنشره للتو كمورد للتجميع منه.
محدد الموارد
بعد ذلك، في قسم التجميع، اختر أنواع رسائل سجل النظام التي تريد جمعها.
بالنسبة لهذا العرض التوضيحي، أختار LOG_LOCAL4 باعتباره المرفق و LOG_DEBUG باعتباره الخطورة، حيث أن هذا هو المكان الذي يكتب فيه البرنامج النصي الخاص بي السجلات.
في إعداد الإنتاج، قد يختلف ذلك وفقًا للجهاز المصدر أو التطبيق.
إذا لم تكن متأكدًا، فيمكنك في البداية تحديد جميع المرافق والشدة، ثم تضييق نطاقها لاحقًا بناءً على ما تتلقاه بالفعل.
محدد المنشأة/الخطورة
قم بإنشاء قاعدة جمع البيانات. سيقوم تلقائيًا بنشر عامل Azure Monitor على خادم سجل النظام الخاص بك.
3. اتصل بجهاز VM الخاص بك باستخدام SSH وقم بتشغيل هذا البرنامج النصي:
سودو جيت -أو Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py
تم تنفيذ البرنامج النصي بنجاح
سيقوم هذا البرنامج النصي بما يلي:
اكتشف ما إذا كان rsyslog أو syslog-ng قيد التشغيل
قم بتمكين مستمعي TCP/UDP على المنفذ 514.
أعد تشغيل البرنامج الخفي المناسب لتطبيق التغييرات.
تم التكوين ويمكننا اختبار إعادة التوجيه.
هام: في هذه البيئة التجريبية، يتم إرسال حركة المرور داخل VNET واحد. تسمح مجموعات أمان الشبكة (NSG) بحركة المرور بين شبكات VNet. إذا كنت ترسل سجل النظام من خارج VNET الخاص بك، فأنت بحاجة إلى السماح به على NSG:
السماح بالسجلات من خارج VNET
تحميل أجهزة افتراضية متوازنة
يقوم Load Balancer بتوزيع حركة المرور بين الأجهزة الافتراضية في تجمع الواجهة الخلفية الخاص به، مما يجعله مثاليًا للتوافر العالي والتحجيم الأفقي.
يمكنك إضافة VM واحد إلى مجموعة الواجهة الخلفية للاختبار، ولكن في الإنتاج، ستحتاج على الأرجح إلى اثنين على الأقل من أجهزة إعادة التوجيه الافتراضية. إذا لزم الأمر، اتبع نفس الخطوات السابقة لإنشاء syslog forwarder VM إضافي.
انتقل إلى Azure Portal، وابحث عن موازنات التحميل، وأنشئ موازن تحميل قياسي جديد.
سيتم استخدام هذا لتوجيه حركة مرور سجل النظام الواردة (UDP/TCP 514) عبر الأجهزة الافتراضية لجهاز إعادة التوجيه.
تكوين موازن التحميل الداخلي:
في قسم الأساسيات من إعداد موازن التحميل، حدد SKU: قياسي والنوع: داخلي.
يؤدي هذا إلى إنشاء Load Balancer داخليًا فقط، وهو مثالي لاستقبال حركة المرور من الأجهزة داخل نفس VNet.
إذا كنت بحاجة إلى قبول حركة المرور من خارج VNet الخاص بك (على سبيل المثال، من الأجهزة المحلية أو المصادر الخارجية)، فيمكنك اختيار النوع: عام بدلاً من ذلك وربط عنوان IP عام بـ Load Balancer.
علامة تبويب «أساسيات» موازن التحميل
قم بإنشاء تكوين IP للواجهة الأمامية واختر عنوان IP ديناميكي.
بعد ذلك، انتقل إلى قسم تجمعات الواجهة الخلفية وحدد الجهاز (الأجهزة) الافتراضية الذي تريد تضمينه في المجموعة.
ستكون هذه هي شركات إعادة توجيه سجل النظام الخاصة بك التي تتلقى حركة المرور من Load Balancer.
مثال على تجمع الواجهة الخلفية
انتقل إلى قواعد Inbound وحدد «إضافة قاعدة موازنة التحميل»:
عنوان IP الخاص بالواجهة الأمامية: تكوين IP للواجهة الأمامية
حمام السباحة الخلفي: حمام السباحة الخلفي الخاص بك
البروتوكول: UDP
المنفذ: 514
منفذ الواجهة الخلفية: 514
قم بإنشاء مسبار صحي يتحقق من منفذ TCP 514.
يفتح البرنامج النصي للإعداد الذي نستخدمه عند تكوين البرنامج الخفي لسجل النظام على كل جهاز افتراضي كلاً من منفذ UDP و TCP 514، لذلك سيتمكن المسبار من التحقق من توفر VM.
بمجرد تكوين المسبار، امض قدمًا وقم بإنشاء موازن التحميل.
إعداد Load-Balanced VM الخاص بك لإعادة توجيه سجل النظام جاهز الآن للاختبار.
راجع الخطوات الموجودة في قسم «اختبار سيناريوهات إعادة توجيه Syslog» للتحقق من استلام السجلات وإعادة توجيهها بشكل صحيح.
نظام VMSS متوازن التحميل
في هذه المرحلة، تناولنا كيفية إنشاء موازن التحميل وتكوين أجهزة إعادة توجيه سجل النظام لترحيل السجلات إلى Microsoft Sentinel.
إذا كنت تريد المزيد من المرونة والقدرة على التعامل مع ارتفاع حجم السجل، ففكر في استخدام مجموعة مقاييس الأجهزة الافتراضية (VMSS). VMSS عبارة عن مجموعة من الأجهزة الافتراضية التي يمكنها التوسع تلقائيًا (إضافة مثيلات) أو التوسع (إزالة المثيلات) بناءً على استخدام الموارد.
قم بتكوين سياسة Azure لتثبيت عامل Azure Monitor تلقائيًا على VMSS
تضمن هذه الخطوة تكوين أي مثيلات VM جديدة تم إنشاؤها ضمن مجموعة المقاييس تلقائيًا باستخدام:
تم تثبيت عامل مراقبة Azure (AMA).
قاعدة جمع البيانات الصحيحة (DCR) المرتبطة.
بمعنى آخر، يضمن هذا وجود الوكيل المسؤول عن إرسال السجلات ويعرف ما يجب جمعه ومكان إرساله.
لتكوين السياسة:
انتقل إلى سياسة Azure في البوابة الإلكترونية.
ابحث عن «تمكين شاشة Azure لـ VMSS باستخدام عامل مراقبة Azure (AMA)».
انقر فوق تعيين.
قم بتعيين النطاق - من الناحية المثالية فقط مجموعة الموارد التي تحتوي على VMSS الخاص بك.
تمكين تطبيق السياسة لضمان الامتثال.
بمجرد التعيين، ستطبق هذه السياسة تكوين AMA وDCR تلقائيًا على أي مثيل VM تم إنشاؤه ضمن مجموعة المقاييس.
انتقل إلى «المعلمات» وحدد:
أحضر هويتك المُدارة المعينة من قبل المستخدم: false
معرف مورد قاعدة جمع بيانات VMI: معرف مورد DCRs الخاص بك
سيؤدي تكوين 'false' للإعداد الأول إلى إنشاء هوية مُدارة مخصصة للنظام. هذا ليس مثاليًا في بيئات الإنتاج، ولكنه جيد للاختبار على نطاق صغير.
للحصول على معرف مورد DCR، انتقل إلى مورد DCR، وانقر فوق «JSON View» وانسخ معرف المورد من أعلى الصفحة:
معرف مورد DCR
2. قم بإنشاء مجموعة مقياس الجهاز الافتراضي:
انتقل إلى Azure Portal، وابحث عن مجموعات مقاييس الأجهزة الافتراضية، وحدد إنشاء.
في معالج الإعداد، قم بتعيين وضع التحجيم إلى Autoscaling.
اختر أوبونتو سيرفر 22.04 كصورة.
حدد Standard_D2LS_v5 كحجم VM.
يوفر هذا التكوين أساسًا قويًا لإعادة توجيه سجل النظام مع وجود مساحة كافية للتوسع استنادًا إلى التحميل.
واجهة مستخدم «أساسيات» VMSS
الإعداد الإلزامي التالي هو تمكين «مراقبة صحة التطبيق». بالنسبة إلى التحجيم المنسق لـ Azure، يجب القيام بذلك. استخدم الإعدادات التالية:
الحالات الصحية: ثنائية - صحية أو غير صحية
البروتوكول: TCP
رقم المنفذ: 514
وربما يكون الجزء الأكثر أهمية في إعداد مجموعة مقياس الآلة الافتراضية بشكل صحيح هو البرنامج النصي cloud-init. تريد تشغيل البرنامج النصي لتكوين syslog بمجرد توفير جهاز افتراضي جديد بحيث يكون جاهزًا للعمل على الفور. ضمن المستوى المتقدم، قم بلصق هذا في «البيانات المخصصة»:
#cloud -التكوين
runcmd:
- احصل على البريد الإلكتروني /tmp/Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py
- بيثون 3 /tmp/Forwarder_AMA_installer.py
مثالي. يمكننا الآن إنشاء VMSS.
اختبار سيناريوهات إعادة توجيه Syslog
في البرنامج النصي لمولد سجل النظام الخاص بك، قم بتحديث متغير SYSLOG_SERVER ليطابق عنوان IP الخاص بجهاز إعادة توجيه سجل النظام VM أو Load Balancer (إذا كنت تستخدم واحدًا).
متغيرات البرنامج النصي
قم بتشغيل البرنامج النصي على مولد syslog VM:
بيثون 3 syslog_generator.py
ثم تحقق مما إذا كان يتم استلام السجلات على أداة إعادة توجيه syslog عن طريق تشغيل tcmdump:
tcpdump -i أي منفذ 514 -A -vv &
يجب أن تشاهد مخرجًا كما في لقطة الشاشة أدناه.
تتدفق السجلات
الخطوة الأخيرة هي التحقق من تلقي هذه السجلات في Microsoft Sentinel. انتقل إلى Sentinel -> السجلات واكتب «Syslog»:
وصلت السجلات إلى ميكروسوفت سنتينل
في هذا الدليل، استعرضنا عملية إعداد إعادة توجيه سجل النظام إلى Microsoft Sentinel باستخدام العديد من سيناريوهات النشر. بدءًا من جهاز VM واحد بسيط («Big Boy»)، استكشفنا بعد ذلك المزيد من الإعدادات القابلة للتطوير والجاهزة للإنتاج باستخدام أجهزة افتراضية متوازنة التحميل ومجموعات موازين الماكينات الافتراضية (VMSS).
لقد غطينا المفاهيم الأساسية مثل:
ما هي إعادة توجيه سجل النظام وسجل النظام وسبب أهميتها للمراقبة الأمنية.
كيفية تكوين معيد توجيه سجل النظام المستند إلى Linux باستخدام rsyslog وعامل Azure Monitor (AMA).
كيفية إعداد قواعد جمع البيانات (DCRs) وتوصيل وكلاء الشحن بـ Microsoft Sentinel.
كيفية استخدام Azure Load Balancer وسياسة Azure لأتمتة البنية التحتية للتسجيل وتوسيع نطاقها.
سواء كنت تقوم بإعداد بيئة اختبار سريعة أو وضع الأساس لنشر الإنتاج، تساعد هذه الخطوات على ضمان تدفق سجلاتك بشكل موثوق إلى Microsoft Sentinel حتى لو لم تكن «شخصًا يعمل بنظام Linux».
© 2025 SecQube المحدودة (المملكة المتحدة). جميع الحقوق محفوظة. رقم الشركة: 15417445
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
