Konfigurace automatického nahrávání protokolů pomocí Podmanu
Poznámka
Microsoft Defender for Cloud Apps je teď součástí Microsoft Defender XDR, která koreluje signály z celé sady Microsoft Defender a poskytuje detekci, šetření a výkonné možnosti reakce na úrovni incidentů. Další informace najdete v tématu Microsoft Defender for Cloud Apps v Microsoft Defender XDR.
Tento článek popisuje, jak nakonfigurovat automatické nahrávání protokolů pro průběžné sestavy v Defender for Cloud Apps pomocí kontejneru Podman v Linuxu na místním serveru. Zákazníci používající RHEL 7.1 nebo novější musí k automatickému shromažďování protokolů použít Podman.
Požadavky
Než začnete:
- Ujistěte se, že používáte kontejner s RHEL 7.1 nebo novějším.
- Vzhledem k tomu, že Docker a Podman nemůžou současně existovat na stejném počítači, nezapomeňte před spuštěním Podmanu odinstalovat všechny instalace Dockeru.
- Ujistěte se, že jste přihlášení k počítači RHEL jako uživatel
rootpro nasazení Podmana.
Nastavení a konfigurace
Přihlaste se k Microsoft Defender XDR a vyberte Nastavení > Cloud Apps > Cloud Discovery > Automatické nahrávání protokolů.
Ujistěte se, že máte na kartě Zdroje dat definovaný zdroj dat. Pokud ne, vyberte Přidat zdroj dat a přidejte ho.
Vyberte kartu Kolektory protokolů , která obsahuje seznam všech kolektorů protokolů nasazených ve vašem tenantovi.
Vyberte odkaz Přidat kolektor protokolů . Potom v dialogovém okně Vytvořit kolektor protokolů zadejte:
:----- Popis Název Zadejte smysluplný název na základě klíčových informací, které kolektor protokolů používá, jako je interní názvový standard nebo umístění lokality. IP adresa hostitele nebo plně kvalifikovaný název domény Zadejte IP adresu hostitelského počítače nebo ip adresy virtuálního počítače kolektoru protokolů. Ujistěte se, že služba syslog nebo brána firewall mají přístup k ZADANÉ IP adrese nebo plně kvalifikovanému názvu domény. Zdroje dat Vyberte zdroj dat, který chcete použít. Pokud používáte více zdrojů dat, použije se vybraný zdroj na samostatný port, aby kolektor protokolů mohl dál konzistentně odesílat data.
Následující seznam například ukazuje příklady kombinací zdrojů dat a portů:
- Palo Alto: 601
- Kontrolní bod: 602
- ZScaler: 603Výběrem možnosti Vytvořit zobrazíte na obrazovce další pokyny pro vaši konkrétní situaci.
Zkopírujte zobrazený příkaz a podle potřeby ho upravte na základě služby kontejneru, kterou používáte. Příklady:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterSpuštěním upraveného příkazu na počítači nasaďte kontejner. V případě úspěchu se v protokolech zobrazí načtení image z mcr.microsoft.com a pokračování ve vytváření objektů blob pro kontejner.
Po úplném nasazení kontejneru ověřte, že funguje, a to tak, že zkontrolujete službu kontejnerizace:
podman ps
Poznámka
Kontejnery Podman se při restartování hostitelského serveru nespustí automaticky. Restartování hostitelského počítače Podman vyžaduje, abyste kontejner znovu spustili.
Řešení problémů
Pokud z kontejneru Podman nedostáváte protokoly brány firewall, zkontrolujte následující:
Ujistěte se, že se rsyslog v kolektoru protokolů otáčí.
Pokud jste provedli změny, počkejte několik hodin a spuštěním následujícího příkazu zkontrolujte, jestli se něco nezměnilo:
podman logs <container name>kde
<container name>je název kontejneru, který používáte.Pokud se protokoly stále neodesílají, ujistěte se, že je kontejner nasazený pomocí příznaku
--privileged. Pokud jste kontejner s příznakem--privilegednenasadili, nenashromáždí nahrané soubory do hostitelského počítače.
Související obsah
Další informace najdete v tématu Konfigurace automatického nahrávání protokolů pro průběžné sestavy.