Konfigurer automatisk logoverførsel for fortløbende rapporter
Med logindsamlere kan du nemt automatisere logupload fra dit netværk. Logopsamleren kører på netværket og modtager logge over Syslog eller FTP. Hver logfil behandles, komprimeres og sendes automatisk til portalen. FTP-logfiler overføres til Microsoft Defender for Cloud Apps, når filen er færdig med FTP-overførslen til Log Collector. For Syslog skriver Log Collector de modtagne logge til disken. Derefter uploader samleren filen til Defender for Cloud Apps, når filstørrelsen er større end 40 KB.
Når en log er uploadet til Defender for Cloud Apps, flyttes den til en sikkerhedskopimappe. I sikkerhedskopimappen gemmes de sidste 20 logge. Når der modtages nye logge, slettes de gamle logge. Når logopsamlerens diskplads er fuld, dropper logopsamleren nye logfiler, indtil der er mere ledig diskplads (dette bør ikke ske, hvis forudsætninger er opfyldt korrekt). Du modtager en advarsel under fanen Logindsamlere under indstillingerne for uploadlogfiler automatisk , når dette sker.
Før du konfigurerer automatisk samling af logfiler, skal du kontrollere, at logfilen stemmer overens med den forventede logtype. Du vil sikre dig, at Defender for Cloud Apps kan fortolke din specifikke fil. Du kan finde flere oplysninger under Brug af trafiklogge til cloudregistrering.
Bemærk!
- Defender for Cloud Apps understøtter videresendelse af logge fra din SIEM-server til Log Collector under forudsætning af, at loggene videresendes i deres oprindelige format. Det anbefales dog på det kraftigste, at du integrerer logopsamleren direkte med din firewall og/eller proxy.
- Logopsamleren komprimerer data, før de overføres. Den udgående trafik på logopsamleren vil være 10 % af størrelsen af de trafiklogge, den modtager.
- Hvis der opstår problemer med logindsamleren, modtager du en besked, når dataene ikke blev modtaget i 48 timer.
Forudsætninger
- Diskplads 250 GB
- CPU-kerner: 2
- CPU-arkitektur: Intel® 64 og AMD 64
- RAM: 4 GB
- Angiv din firewall som beskrevet i Netværkskrav
Bemærk!
Hvis du har en eksisterende logopsamler og vil fjerne den, før du installerer den igen, eller hvis du blot vil fjerne den, skal du køre følgende kommandoer:
docker stop <collector_name>
docker rm <collector_name>
Bemærk!
Hvis du vil installere en ny logindsamlerversion, skal du stoppe din logopsamler, fjerne det aktuelle billede og installere det nye.
Logopsamlerens ydeevne
Log collector kan håndtere logkapacitet på op til 50 GB pr. time. De vigtigste flaskehalse i logindsamlingsprocessen er:
- Netværksbåndbredde – Din netværksbåndbredde bestemmer logfilens overførselshastighed.
- I/O-ydeevne for den virtuelle maskine – bestemmer den hastighed, som logge skrives med til logopsamlerens disk. Logopsamleren har en indbygget sikkerhedsmekanisme, der overvåger den hastighed, som logge ankommer med, og sammenligner den med uploadhastigheden. I tilfælde af overbelastning begynder logopsamleren at slippe logfiler. Hvis din konfiguration typisk overstiger 50 GB pr. time, anbefales det, at du opdeler trafikken mellem flere logindsamlere.
Relateret indhold
Log Collector understøtter installationstilstanden Objektbeholder . Du kan finde flere oplysninger under:
- Konfigurer automatisk logoverførsel ved hjælp af Docker i det lokale miljø i Windows
- Konfigurer automatisk upload af log ved hjælp af Podman
- Konfigurer automatisk logoverførsel ved hjælp af Docker i Azure
- Konfigurer automatisk logoverførsel ved hjælp af Docker i Azure Kubernetes Service (AKS)