Microsoft Azure Günlük Analizi
Microsoft Azure Log Analytics, Microsoft Azure altyapınızı izleyen ve verilerinize özel gelişmiş aramalar yapmanıza olanak tanıyan sorgu yetenekleri sunan bir hizmettir.
Azure Log Analytics çözümü, tüm Azure aboneliklerinizdeki Azure etkinlik günlüklerini analiz etmenize ve aramanıza yardımcı olur ve aboneliklerinizin kaynaklarıyla gerçekleştirilen işlemler hakkında bilgi sağlar.
Microsoft Entra ID kimlik doğrulama şemasını kullanan Azure Log Analytics REST API'sini kullanarak Log Analytics tarafından toplanan verileri sorgulayabilirsiniz. Azure Log Analytics REST API'sini kullanmak için nitelikli bir uygulamaya veya istemciye ihtiyacınız vardır. Bunu Microsoft Azure portalında manuel olarak yapılandırmanız gerekir. Aşağıdaki bölüm uygulamanın nasıl kurulacağını gösterir ve bir kullanım örneği verir:
Uygulamanın kurulumu
Azure Log Analytics kullanım örneği
Yapılandırma
Azure
Uygulamanın kurulumu
Aşağıdaki işlem Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı ayrıntılı olarak açıklamaktadır. Mevcut bir uygulamayı yapılandırmak da mümkündür. Zaten mevcut bir uygulamanız varsa lütfen Uygulama oluşturma adımını atlayın.
Uygulamanın oluşturulması
Azure Log Analytics için yeni bir uygulama oluşturmak üzere Microsoft Azure portalındaki Microsoft Entra ID paneline gidiyoruz.
Microsoft Entra ID panelinden Uygulama kayıtları seçeneğini seçin . Ardından, Yeni kayıt seçeneğini seçin.
Uygulama için kullanıcıya dönük görüntü adını tanımlayın ve Kaydet'i seçin .
Uygulamaya İzinlerin Verilmesi
Uygulama kaydından Tüm uygulamaları seçin ve yenileyin. Yeni uygulama görünecektir. Bizim durumumuzda, görünen ad LogAnalyticsApp'dir .
Genel Bakış bölümüne gidin ve Uygulama (istemci) kimliğini daha sonraki kimlik doğrulaması için kaydedin.
API izinleri bölümüne gidin ve uygulamaya Data.Read iznini ekleyin.
Log Analytics API'yi arayın .
Uygulamalar izinlerinden Log Analytics verilerini oku iznini seçin.
Kiracıya yönetici onayı vermek için bir yönetici kullanıcısı kullanın.
Uygulamaya Azure Log Analytics API'sine Erişim İzni Verme
Log Analytics çalışma alanlarına erişin ve yeni bir çalışma alanı oluşturun veya mevcut bir çalışma alanını seçin.
Genel Bakış bölümünden değeri kopyalayın . Workspace ID
Erişim denetimi (IAM) bölümüne gidin , Ekle'ye tıklayın ve uygulamaya gerekli rolü eklemek için Rol ataması ekle'yi seçin .
İş fonksiyonları rol sekmesinden Log Analytics Okuyucu rolünü seçin.
Üyeler sekmesinden Kullanıcı, grup veya hizmet sorumlusunu seçin . Üyeleri seç'e tıklayın ve daha önce oluşturulan Uygulama kaydını bulun.
Bitirmek için Gözden Geçir + Ata'ya tıklayın .
Günlükleri Çalışma Alanına gönderme
Önceki adımlarda oluşturulan Azure Log Analytics Çalışma Alanına günlükleri toplamak ve göndermek için bir tanılama ayarı oluşturmanız gerekir.
Microsoft Entra ID'ye geri dönün , sol menü çubuğunu aşağı kaydırın ve Tanılama ayarları bölümünü seçin.
Tanılama ayarı ekle'ye tıklayın.
Kategoriler altında toplamak istediğiniz günlük kategorilerini seçin . Hedef ayrıntıları altında Log Analytics çalışma alanına gönder seçeneğini işaretleyin. Önceki adımlarda oluşturduğunuz Log Analytics Çalışma Alanını seçin .
Kaydet'e tıklayın .
Azure Log Analytics, seçili kategorileri çalışma alanınıza aktaracaktır.
Wazuh, Azure Log Analytics'ten günlükleri çekmek için geçerli kimlik bilgileri gerektirir. Uygulama kaydına erişmek için bir istemci sırrının nasıl oluşturulacağını öğrenmek için kimlik bilgileri bölümüne bakın.
Wazuh Sunucusu veya Aracısı
Azure Log Analytics'inize erişmek için Wazuh modülünü Azure için yetkilendirmeniz gerekir. Yetkilendirmeyi ayarlama hakkında daha fazla bilgi için Azure kimlik bilgilerini yapılandırma bölümüne bakın.
/var/ossec/etc/ossec.conf Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:
no
no
/var/ossec/wodles/credentials/log_analytics_credentials
wazuh.com
azure-auditlogs
AuditLogs
d6b...efa
1d
Nerede:
çalışma alanı gizli anahtarının saklandığı tam yoldur.
kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden edinebilirsiniz.
kimlik doğrulaması için ihtiyaç duyduğunuz çalışma alanı kimliğidir.
geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir.
Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.
Wazuh temsilcisi:
systemctl restart wazuh-agent
Wazuh sunucusu:
systemctl restart wazuh-manager
yukarıdaki yapılandırma, Wazuh'un tanımlayıcı olarak tag değeri kullanarak herhangi bir sorguyu aramasına olanak tanır .
Azure için Wazuh modülü hakkında daha fazla bilgi için referansı inceleyin .
Use Case
Daha önce oluşturulmuş Azure uygulamasını kullanarak altyapı etkinliğinin izlenmesine dair bir örnek aşağıda verilmiştir.
Bir Kullanıcı Oluşturma
Microsoft Entra ID'de kullanıcı oluşturmak için aşağıda belirtilen adımları izleyin:
Entra ID'ye gidin ve Tüm kullanıcılar'ı seçin.
Yeni Kullanıcı'ya tıklayın.
Yeni kullanıcı oluştur seçeneğini seçin.
Oluşturmak istediğiniz kullanıcı için gerekli bilgileri girin ve ardından Oluştur seçeneğini seçerek oluşturma işlemini tamamlayın.
Wazuh Dashboard Olayların Görselleştirilmesi
Kurulum tamamlandıktan sonra sonuçları Wazuh kontrol panelinden kontrol edebilirsiniz.