[英]How to collect SSH logs from Azure VM and push it to log analytics workspace
我想将所有 SSH 日志(用户登录/注销)存储到 Log Analytics 工作区
我的环境的详细信息:
虚拟机:操作系统 - Ubuntu 18.04.6 LTS
与现有的 Log Analytics 工作区连接
我尝试在我这边重现该场景,并能够将 VM 身份验证日志推送到 Log Analytics:-
我想将所有 SSH 日志(用户登录/注销)存储到 Log Analytics
工作区
我使用 OS- Ubuntu 18.04.6 LTS 创建了一个 Linux VM
Azure VM 的登录日志未在 Azure 端收集,因为那是一个
VM 的数据平面操作。 但是你可以看到 VM 的用户登录详细信息
在您的 Linux 虚拟机中并将这些日志发送到日志分析工作区。
可以对本地 Linux 机器执行相同的操作。
使用命令检查 VM 中的用户 ssh 详细信息:-
last
lastlog
所有这些日志都保存在 Linux VM 中的 auth.log 文件中,为了检查 auth.log 文件,您可以运行以下命令:-
tail -f -n 100 /var/log/auth.log
为了将此 auth.log 文件发送到日志分析工作区,有两种方法:-
方法 1) :-使用旧版日志分析代理 -
Go 至 >
Log analytics workspace > Agents Management >Linux Servers > 并在 Linux 机器上运行下面给出的命令以在 Linux VM 上安装 Log analytics agent 。
wget https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/master/installer/scripts/onboard_agent.sh && sh onboard_agent.sh -w <workspace-id> -s <key> -d opinsights.azure.com
我们的 Linux 虚拟机已连接到 Log Analytics 工作区,您可以查看日志:-
您还可以通过单击启用特定的系统日志
Legacy agent management > syslogs > Add facility and select specific logs from your Linux VM: -
注意 - 方法 1 使用日志分析代理将在
2024,建议迁移到Azure Monitor Agent。
方法二:-使用 Azure Monitor Agent [推荐] -
Azure Monitor Agent 可以直接从VM 左窗格 > 扩展 + 应用程序安装,如下所示:-
另一种方法是通过Azure Monitor Agent :- [推荐]
我创建了一个数据收集规则来将所需的日志从 Linux VM 收集到日志分析工作区:-
创建端点 > Select 接下来 > 收集和交付 > 添加数据源 > 在数据源类型 > Select Linux 系统日志 > 和 select LOG_AUTH > 参考以下:-
Select 目标中的日志分析工作区 -
创建数据收集规则:-
现在,您可以通过访问启用 Azure 监控代理:-在 Azure 门户上搜索监控 > 虚拟机 > Select 您的虚拟机 > 启用 Azure 监控代理。
现在, Select Azure 监控代理 > 单击配置:-
现在,等待一段时间让 Auth 日志反映出用户登录和注销的详细信息:-
Go 至:-
在 Azure Portal > Logs > Select syslog 表上监控
您的 VM 日志将存储在这里。
方法 3) [可选]使用诊断设置
您可以启用诊断设置并使用 Azure Monitor agent for Linux 将 VM 日志存储在存储帐户中。 如果您已经有日志分析以避免重复并降低成本,则不建议使用此方法。
Select 您的 Linux VM > 诊断设置 > 选择一个存储帐户来存储您的 VM 日志。
诊断设置会将授权日志存储在选定的存储帐户中:-
单击保存。
参考:-
如何将备份日志(1 年保留日志)从日志分析工作区移动到 azure 存储帐户
[英]How to move backup logs (1 year retention logs) from log analytics workspace to azure storage account
如何将 Azure VM 重新启动和关闭日志获取到 Azure Log Analytics 中?
[英]How to get Azure VM reboot and shutdown logs into Azure Log Analytics?
我们可以将 azure 资源的自定义日志推送到 Log Analytics Workspace 的内置表中吗?
[英]Can we push custom logs of azure resources into in-built tables of Log Analytics Workspace?
将 Azure 应用服务 HTTP 日志从诊断设置发送到 Azure 监控日志分析工作区
[英]Sending Azure App Service HTTP Logs from Diagnostics Settings to Azure Monitor Log Analytics Workspace
如何将 Azure 存储帐户活动日志发送到 Azure 日志分析工作区
[英]How to send Azure storaeg account activity logs to Azure Log analytics workspace
如何将 Azure web 应用程序/Web 作业自定义日志摄取到 Azure 监视器日志分析工作区
[英]How to ingest Azure web app/web job custom logs into a Azure Monitor Log analytics workspace
将日志分析工作区添加到 Azure VM 而不替换现有工作区
[英]Add a log analytics workspace to Azure VM without replacing existing workspaces
Azure 应用程序网关防火墙日志未填充到日志分析工作区
[英]Azure application gateway firewall logs not being populated to log analytics workspace
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.