OMS 中的 Syslog 收集

概要: 學習如何配置並使用用於 Syslog 收集的 OMS Agent for Linux。

OMS 中 Linux 管理最核心的功能就是 Syslog 事件的收集。Linux syslog 事件的範圍可從核心紀錄到應用數據與稽核記錄。除了 Linux 伺服器外,許多網路設備、防火牆和應用程序都允許本機 syslog 轉發。

有了用於 Linux 的 OMS Agent,您就可以將所有轉發的 syslog 訊息帶入強大的 OMS Log Analytics 平台,進而快速透過有意義的指令來搜尋,或是對特定 syslog 事件建立警示。

概觀


用於 Linux 的 OMS Agent 是在 Fluentd 的基礎上,它包含了對 syslog 協定訊息的支援。當用於 Linux 的 OMS Agent 成功安裝後,它將會自動配置其他 syslog 應用程序(rsyslog 和 syslog-ng) 來將所有警告和以上的事件寫入其在 port 25224 的監聽器。

若您已經透過安裝用於 Linux 的 OMS Agent,在一台 Linux 伺服器上轉發事件到 rsyslog 或 syslog-ng,所有受警告的事件都會自動被路由到 OMS 服務。若您想要啟用額外的記錄級別或是方便收藏,可以參閱:從 OMS 入口網站配置 Syslog 收集

配置用於 Linux 的 OMS Agent 來直接轉發

除了轉發 syslog 訊息到 rsyslog 或 syslog-ng 外,syslog 訊息也可以直接被路由到 用於 Linux 的 OMS Agent。

若要啟用直接收集,需編輯位於 /etc/opt/microsoft/omsagent/conf/omsagent.conf 的 configuration file。

1. 在 configuration file 增加新的來源來吸收傳入的 syslog 數據。

a. 將 <TAGNAME> 替換為一個代表新傳入數據流的自訂名稱。例如:netdevice。

b. 將 <UDP or TCP> 替換為需要的協定種類。

c. 依需求更改 port 設定和 bind 位址。

<source>type syslogport 25226bind 0.0.0.0tag oms.<TAGNAME>protocol_type <UDP OR TCP></source>

2. 在 configuration file 新增過濾器來格式化傳入的 syslog 數據。

a. 將 <TAGNAME> 替換為您在第一步中設定的自訂名稱。

<filter oms.<TAGNAME>.**>type filter_syslog</filter>

3. 重新啟動 OMS Agent 使新的設定生效。

 

為大容量的 syslog 收集配置用於 Linux 的 OMS Agent

根據預設,在不更改配置的情況下,用於 Linux 的 OMS Agent 可以掌握每秒 500 則訊息。跟著以下的配置,可以變更為每秒掌握2000則訊息。

Note:若有大容量的 syslog 收集,建議使用 TCP 協定來避免訊息遺失。

1. 根據先前的指示啟用新的 OMS Syslog 端點。

2. 編輯用於 Linus 的 OMS Agent 的 configuration file。

a. 增加更多輸出線。

b. 更改 buffer 大小。

c. 減少重試時間。

<match oms.** docker.**>type out_omslog_level info

num_threads 10 buffer_chunk_limit 5mbuffer_type filebuffer_path /var/opt/microsoft/omsagent/state/out_oms*.buffer

buffer_queue_limit 30 flush_interval 20sretry_limit 10

# Do not wait more than 5 minutes before sending again

max_retry_wait 300s

retry_wait 2s </match>

Syslog 場景

因為很多防火牆系統都會允許主機 syslog 的轉發,使得透過用於 Linux 的 OMS Agent 將事件傳至 OMS 變得很容易。當這些紀錄都傳至 OMS 後,我們可以在偵測到特定防火牆事件時利用 OMS Log Analytics 的功能來標記,並透過 e-mail 或是 Webhook 將這些事件路由到所需的擁有者。

在以下範例中,若在 Debian 為基底的系統中使用 Universal Firewall,我們可以在每次收到 “UFW BLOCK” 事件時做警示。我們可以輕易的在 OMS 記錄搜尋中搜尋並建立警示。

 

若想詳細了解 OMS 警示功能,可以參閱:在 OMS 中尋找警示

利用縮小來偵測模式

因為 syslog 包含眾多種類,在可擴展的方式下解讀和洞察這些紀錄成為了一項挑戰。利用 縮小 的功能,能夠讓您快速找出有意義的訊息並將 syslog 事件做分類。

在搜尋紀錄中,點選縮小,便會開始將事件做分類,並讓您能夠快速查看事件之間的共通點。

想要詳細了解縮小功能,請參閱:OMS 記錄搜尋中的縮小