本文下述内容均以AZURE CLI 2.x为例。操作环境是Windows10.
(资料图片)
本文实验在Azure中国区完成
在前几章,我们获取的都是一些常用的操作系统日志。在有些特殊的场景,我们需要OMS Agent搜集一些非主流厂商的日志文件。这个工作LA也是能够胜任的。
现在我们就来讲讲具体怎么做。
1. 环境准备:
资源准备参考第2章节,设置开始前保持LA workspace中的VM处于连接(connected)状态。这一次我们使用linux作为例子。
2.设置LA Workspace的数据源:
确保LA Workspace里,加入了Custom log的监测。
进入Log Analytics workspace-> 选择Advanced settings
点击Data->Custom Logs->Add
选择一个样板log文件,方便LA分解每行log.
选择New line作为分隔符。
以监测/var/log/squid/access.log 这个squid代理的访问日志为例。
点击 + 号添加并Next
设定custom log的名字为linux_squid_access (系统会自动添加_CL)作为custom log的标志。
添加成功后选择"Appliy below configuration to my linux machines" 并且点选save. 可以点击detail检查log的设置。
3.向 /var/log/squid/access.log添加一些内容。
cat ./squidattack.txt >> /var/log/squid/access.log
1602884009.508 128 10.2.0.4 TCP_MISS/404 1276 GET http://images.sohu.com/xx.txt - HIER_DIRECT/42.81.85.241 - text/html
1602885009.508 5 10.2.0.4 TCP_MISS/304 522 GET http://images.sohu.com/uiue/dot.gif - HIER_DIRECT/42.81.85.241 - image/gif
*此处可以编写循环脚本,每过10秒钟就添加以上内容进入/var/log/squid/access.log 。
正常情况下,过7分钟左右,LA workspace里应该就可以看到linux_squid_access_CL这个表里有内容了。