Konfigurace automatického nahrávání protokolů pro průběžné sestavy
Kolektory protokolů umožňují snadno automatizovat nahrávání protokolů z vaší sítě. Kolektor protokolů běží ve vaší síti a přijímá protokoly přes Syslog nebo FTP. Každý protokol se automaticky zpracuje, zkomprimuje a přenese na portál. Protokoly FTP se po dokončení přenosu ftp do kolektoru protokolů nahrají do Microsoft Defender for Cloud Apps. V případě syslogu kolektor protokolů zapisuje přijaté protokoly na disk. Kolektor pak soubor nahraje do Defender for Cloud Apps, když je velikost souboru větší než 40 kB.
Po nahrání protokolu do Defender for Cloud Apps se protokol přesune do záložního adresáře. V adresáři zálohování se ukládá posledních 20 protokolů. Když dorazí nové protokoly, staré protokoly se odstraní. Kdykoli je místo na disku kolektoru protokolů plné, kolektor protokolů zahodí nové protokoly, dokud nebude mít více volného místa na disku (k tomu by nemělo dojít, pokud jsou splněné požadavky správně). V takovém případě se na kartě Kolektory protokolů v nastavení Automatické nahrávání protokolů zobrazí upozornění.
Před nastavením automatického shromažďování souborů protokolu ověřte, že protokol odpovídá očekávanému typu protokolu. Chcete se ujistit, že Defender for Cloud Apps může analyzovat váš konkrétní soubor. Další informace najdete v tématu Použití protokolů provozu pro cloud discovery.
Poznámka
- Defender for Cloud Apps poskytuje podporu pro předávání protokolů ze serveru SIEM kolektoru protokolů za předpokladu, že se protokoly přeposílají v původním formátu. Důrazně však doporučujeme integrovat kolektor protokolů přímo s bránou firewall nebo proxy serverem.
- Kolektor protokolů komprimuje data před jejich nahráním. Odchozí provoz v kolektoru protokolů bude 10 % velikosti protokolů provozu, které přijímá.
- Pokud kolektor protokolů narazí na problémy, obdržíte upozornění, když data nebyla přijata po dobu 48 hodin.
Požadavky
- Místo na disku 250 GB
- Jádra procesoru: 2
- Architektura procesoru: Intel® 64 a AMD 64
- RAM: 4 GB
- Nastavte bránu firewall podle popisu v tématu Požadavky na síť.
Poznámka
Pokud máte existující kolektor protokolů a chcete ho před dalším nasazením odebrat nebo ho chcete jednoduše odebrat, spusťte následující příkazy:
docker stop <collector_name>
docker rm <collector_name>
Poznámka
Pokud chcete nainstalovat novou verzi kolektoru protokolů, budete muset zastavit kolektor protokolů, odebrat aktuální image a nainstalovat novou.
Výkon kolektoru protokolů
Kolektor protokolů dokáže úspěšně zpracovat kapacitu protokolu až 50 GB za hodinu. Hlavními kritickými body procesu shromažďování protokolů jsou:
- Šířka pásma sítě – Rychlost nahrávání protokolů určuje šířka pásma sítě.
- Výkon vstupně-výstupních operací virtuálního počítače – Určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který monitoruje rychlost doručení protokolů a porovnává ji s rychlostí nahrávání. V případě zahlcení začne kolektor protokolů vyhazovat soubory protokolu. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.
Související obsah
Kolektor protokolů podporuje režim nasazení kontejneru . Další informace najdete tady:
- Konfigurace automatického nahrávání protokolů pomocí místního Dockeru ve Windows
- Konfigurace automatického nahrávání protokolů pomocí Podmanu
- Konfigurace automatického nahrávání protokolů pomocí Dockeru v Azure
- Konfigurace automatického nahrávání protokolů pomocí Dockeru v Azure Kubernetes Service (AKS)