本文下述内容均以AZURE CLI 2.x为例。操作环境是Windows10.

(资料图片)

本文实验在Azure中国区完成

在前几章，我们获取的都是一些常用的操作系统日志。在有些特殊的场景，我们需要OMS Agent搜集一些非主流厂商的日志文件。这个工作LA也是能够胜任的。

现在我们就来讲讲具体怎么做。

1. 环境准备:

资源准备参考第2章节,设置开始前保持LA workspace中的VM处于连接(connected)状态。这一次我们使用linux作为例子。

2.设置LA Workspace的数据源:

确保LA Workspace里，加入了Custom log的监测。

进入Log Analytics workspace-> 选择Advanced settings

点击Data->Custom Logs->Add

选择一个样板log文件，方便LA分解每行log.

选择New line作为分隔符。

以监测/var/log/squid/access.log 这个squid代理的访问日志为例。

点击 + 号添加并Next

设定custom log的名字为linux_squid_access (系统会自动添加_CL)作为custom log的标志。

添加成功后选择"Appliy below configuration to my linux machines" 并且点选save. 可以点击detail检查log的设置。

3.向 /var/log/squid/access.log添加一些内容。

cat ./squidattack.txt >> /var/log/squid/access.log

1602884009.508 128 10.2.0.4 TCP_MISS/404 1276 GET http://images.sohu.com/xx.txt - HIER_DIRECT/42.81.85.241 - text/html

1602885009.508 5 10.2.0.4 TCP_MISS/304 522 GET http://images.sohu.com/uiue/dot.gif - HIER_DIRECT/42.81.85.241 - image/gif

*此处可以编写循环脚本，每过10秒钟就添加以上内容进入/var/log/squid/access.log 。

正常情况下，过7分钟左右，LA workspace里应该就可以看到linux_squid_access_CL这个表里有内容了。