Del via

Konfigurer automatisk logoverførsel ved hjælp af Docker i det lokale miljø i Windows

  • Artikel

Du kan konfigurere automatisk logupload for fortløbende rapporter i Defender for Cloud Apps ved hjælp af en Docker på Windows.

Forudsætninger

  • Arkitekturspecifikationer:

    Specifikation Beskrivelse
    Operativsystem Et af følgende:
  • Windows 10 (fall creators update)
  • Windows Server version 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Diskplads 250 GB
    CPU-kerner 2
    CPU-arkitektur Intel 64 og AMD 64
    VÆDDER 4 GB

    Du kan se en liste over understøttede Docker-arkitekturer i dokumentationen til Docker-installation.

  • Angiv din firewall efter behov. Du kan få flere oplysninger under Netværkskrav.

  • Virtualisering på operativsystemet skal aktiveres med Hyper-V.

Vigtigt!

  • Virksomhedskunder med mere end 250 brugere eller mere end 10 millioner USD i årlig indtægt kræver et betalt abonnement for at bruge Docker Desktop til Windows. Du kan få flere oplysninger under Oversigt over Docker-abonnement.
  • En bruger skal være logget på, for at Docker kan indsamle logge. Vi anbefaler, at du råder dine Docker-brugere til at afbryde forbindelsen uden at logge af.
  • Docker til Windows understøttes ikke officielt i VMWare-virtualiseringsscenarier.
  • Docker til Windows understøttes ikke officielt i indlejrede virtualiseringsscenarier. Hvis du stadig planlægger at bruge indlejret virtualisering, kan du se Dockers officielle vejledning.
  • Du kan finde oplysninger om yderligere konfigurations- og implementeringsovervejelser for Docker til Windows under Installér Docker Desktop på Windows.

Fjern en eksisterende logopsamler

Hvis du har en eksisterende logopsamler og vil fjerne den, før du installerer den igen, eller hvis du blot vil fjerne den, skal du køre følgende kommandoer:

docker stop <collector_name>
docker rm <collector_name>

Logopsamlerens ydeevne

Logopsamleren kan håndtere en logkapacitet på op til 50 GB pr. time. De vigtigste flaskehalse i logindsamlingsprocessen er:

  • Netværksbåndbredde – Din netværksbåndbredde bestemmer logfilens overførselshastighed.

  • I/O-ydeevne for den virtuelle maskine – bestemmer den hastighed, som logge skrives med til logopsamlerens disk. Logopsamleren har en indbygget sikkerhedsmekanisme, der overvåger den hastighed, som logge ankommer med, og sammenligner den med uploadhastigheden. I tilfælde af overbelastning begynder logopsamleren at slippe logfiler. Hvis din konfiguration typisk overstiger 50 GB pr. time, anbefales det, at du opdeler trafikken mellem flere logindsamlere.

Trin 1 – Konfiguration af webportal

Brug følgende trin til at definere dine datakilder og knytte dem til en logopsamler. En enkelt logindsamler kan håndtere flere datakilder.

  1. På Microsoft Defender portal skal du vælge Indstillinger Cloud>Apps Cloud Apps>Cloud Discovery>Fanen Automatisk logupload>Datakilder.

  2. For hver firewall eller proxy, du vil overføre logge fra, skal du oprette en matchende datakilde:

    1. Vælg +Tilføj datakilde.

      Skærmbillede af knappen Tilføj datakilde.

    2. Navngiv din proxy eller firewall.

      Skærmbillede af dialogboksen Tilføj datakilde

    3. Vælg apparatet på kildelisten . Hvis du vælger Brugerdefineret logformat for at arbejde med en netværksenhed, der ikke er angivet, skal du se Arbejde med den brugerdefinerede logparser for at få konfigurationsvejledning.

    4. Sammenlign din log med eksemplet på det forventede logformat. Hvis dit logfilformat ikke stemmer overens med dette eksempel, skal du tilføje datakilden som Andet.

    5. Angiv modtagertypen til enten FTP, FTPS, Syslog – UDP eller Syslog – TCP eller Syslog – TLS.

      Bemærk!

      Integration med protokoller til sikker overførsel (FTPS og Syslog – TLS) kræver ofte yderligere indstillinger for din firewall/proxy.

    6. Gentag denne proces for hver firewall og proxy, hvis logge kan bruges til at registrere trafik på netværket. Vi anbefaler, at du konfigurerer en dedikeret datakilde pr. netværksenhed, så du kan:

      • Overvåg hver enheds status separat med henblik på undersøgelse.
      • Udforsk Shadow IT Discovery pr. enhed, hvis hver enhed bruges af et andet brugersegment.

  3. Øverst på siden skal du vælge fanen Log collectors og derefter vælge Tilføj logopsamler.

  4. I dialogboksen Opret logopsamler :

    1. Angiv et sigende navn til logopsamleren i feltet Navn .

    2. Giv logopsamleren et navn , og angiv værts-IP-adressen (privat IP-adresse) for den computer, du vil bruge til at installere Docker. Værts-IP-adressen kan erstattes med computernavnet, hvis der er en DNS-server (eller tilsvarende), der fortolker værtsnavnet.

    3. Vælg alle de datakilder , du vil oprette forbindelse til indsamlingen for, og vælg Opdater for at gemme konfigurationen.

      Yderligere udrulningsoplysninger vises i afsnittet Næste trin , herunder en kommando, du skal bruge senere til at importere indsamlingskonfigurationen. Hvis du har valgt Syslog, indeholder disse oplysninger også data om, hvilken port Syslog-lytteren lytter på.

    4. Brug ikonet Kopiér til Udklipsholder.Knappen Kopiér for at kopiere kommandoen til Udklipsholder og gemme den på en separat placering.

    5. Brug knappen Eksportéreksport til at eksportere den forventede konfiguration af datakilden. Denne konfiguration beskriver, hvordan du skal angive logeksporten i dine apparater.

For brugere, der sender logdata via FTP for første gang, anbefaler vi, at du ændrer adgangskoden for FTP-brugeren. Du kan få flere oplysninger under Ændring af FTP-adgangskoden.

Trin 2 – Udrulning af din computer i det lokale miljø

I følgende trin beskrives installationen i Windows. Installationstrinnene for andre platforme er lidt anderledes.

  1. Åbn en PowerShell-terminal som administrator på din Windows-computer.

  2. Kør følgende kommando for at downloade PowerShell-scriptfilen til Windows Docker-installationsprogrammet:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Hvis du vil validere, at installationsprogrammet er signeret af Microsoft, skal du se Valider installationssignatur.

  3. Hvis du vil aktivere udførelse af PowerShell-script, skal du køre:

    Set-ExecutionPolicy RemoteSigned`

  4. Hvis du vil installere Docker-klienten på computeren, skal du køre:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Computeren genstartes automatisk, når du har kørt kommandoen.

  5. Når computeren kører igen, skal du køre den samme kommando igen:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Kør Docker-installationsprogrammet, og vælg at bruge WSL 2 i stedet for Hyper-V.

    Når installationen er fuldført, genstartes computeren automatisk igen.

  7. Når genstarten er fuldført, skal du åbne Docker-klienten og acceptere Docker-abonnementsaftalen.

  8. Hvis WSL2-installationen ikke er fuldført, vises der en meddelelse om, at WSL 2 Linux-kernen er installeret ved hjælp af en separat MSI-opdateringspakke.

  9. Fuldfør installationen ved at hente pakken. Du kan få flere oplysninger under Download Linux-kerneopdateringspakken.

  10. Åbn Docker Desktop-klienten igen, og sørg for, at den er startet.

  11. Åbn en kommandoprompt som administrator, og angiv den kørselskommando, du tidligere har kopieret fra portalen i trin 1 – webportalkonfiguration.

    Hvis du har brug for at konfigurere en proxy, skal du tilføje proxy-IP-adressen og portnummeret. Hvis dine proxyoplysninger f.eks. er 172.31.255.255:8080, er den opdaterede kørselskommando:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Hvis du vil kontrollere, at samleren kører korrekt, skal du køre:

    docker logs <collector_name>

    Du bør se meddelelsen: Fuldført! For eksempel:

    Skærmbillede af en kommando, som samleren kører korrekt.

Trin 3 – Konfiguration af dine netværksapparater i det lokale miljø

Konfigurer netværksfirewalls og proxyer til periodisk at eksportere logge til den dedikerede Syslog-port i FTP-mappen i henhold til vejledningen i dialogboksen. Det kan f.eks. være:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Trin 4 – Kontrollér den vellykkede installation på portalen

Kontrollér indsamlingsstatus i logopsamlertabellen , og kontrollér, at status er Tilsluttet. Hvis den er oprettet, er det muligt, at logindsamlerforbindelsen og fortolkning ikke er fuldført.

Kontrollér, at der er forbindelse til indsamlingsstatussen.

Du kan også gå til styringsloggen og kontrollere, at loggene uploades regelmæssigt til portalen.

Du kan også kontrollere logopsamlerens status fra dockerobjektbeholderen ved hjælp af følgende kommandoer:

  1. Log på objektbeholderen:

    docker exec -it <Container Name> bash

  2. Kontrollér status for logopsamleren:

    collector_status -p

Hvis du har problemer under udrulningen, skal du se Fejlfinding af cloudregistrering.

Valgfrit – Opret brugerdefinerede fortløbende rapporter

Kontrollér, at loggene uploades til Defender for Cloud Apps, og at der genereres rapporter. Efter bekræftelse skal du oprette brugerdefinerede rapporter. Du kan oprette brugerdefinerede registreringsrapporter baseret på Microsoft Entra brugergrupper. Hvis du f.eks. vil se brugen af din marketingafdeling i skyen, skal du importere marketinggruppen ved hjælp af funktionen Importér brugergruppe. Opret derefter en brugerdefineret rapport for denne gruppe. Du kan også tilpasse en rapport baseret på IP-adressemærke eller IP-adresseintervaller.

  1. På Microsoft Defender-portalen skal du vælge Indstillinger Cloud>Apps>Cloud Discovery>Fortløbende rapporter.

  2. Vælg knappen Opret rapport , og udfyld felterne.

  3. Under Filtre kan du filtrere dataene efter datakilde, efter importeret brugergruppe eller efter IP-adressekoder og -områder.

    Bemærk!

    Når du anvender filtre på fortløbende rapporter, medtages valget, ikke udeladt. Hvis du f.eks. anvender et filter på en bestemt brugergruppe, er det kun den pågældende brugergruppe, der medtages i rapporten.

    Brugerdefineret fortløbende rapport.

Valgfrit – Valider installationssignatur

Sådan sikrer du, at dockerinstallationsprogrammet er signeret af Microsoft:

  1. Højreklik på filen, og vælg Egenskaber.

  2. Vælg Digitale signaturer , og sørg for, at der står Denne digitale signatur er OK.

  3. Sørg for, at Microsoft Corporation er angivet som den eneste post under Navn på underskriver.

    Digital signatur er gyldig.

    Hvis den digitale signatur ikke er gyldig, står der, at denne digitale signatur ikke er gyldig:

    Den digitale signatur er ugyldig.

Næste trin

Rediger konfigurationen af LOG COLLECTOR FTP

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.