Konfigurer automatisk upload af log ved hjælp af Podman
Bemærk!
Microsoft Defender for Cloud Apps er nu en del af Microsoft Defender XDR, der korrelerer signaler fra hele Microsoft Defender-pakken og giver mulighed for registrering, undersøgelse og effektive svarmuligheder på hændelsesniveau. Du kan få flere oplysninger under Microsoft Defender for Cloud Apps i Microsoft Defender XDR.
I denne artikel beskrives det, hvordan du konfigurerer automatisk upload af logfiler for fortløbende rapporter i Defender for Cloud Apps ved hjælp af en Podman-objektbeholder på Linux på en lokal server. Kunder, der bruger RHEL 7.1 eller nyere, skal bruge Podman til automatisk logindsamling.
Forudsætninger
Før du starter:
- Sørg for, at du bruger en objektbeholder med RHEL 7.1 eller nyere.
- Da Docker og Podman ikke kan fungere sammen på den samme maskine, skal du sørge for at fjerne Docker-installationer, før du kører Podman.
- Sørg for, at du er logget på RHEL-maskinen som bruger
rootfor at installere Podman
Installation og konfiguration
Log på Microsoft Defender XDR, og vælg Indstillinger > Cloud Apps > Cloud Discovery > Automatisk upload af log.
Sørg for, at du har defineret en datakilde under fanen Datakilder . Hvis du ikke gør det, skal du vælge Tilføj en datakilde for at tilføje en.
Vælg fanen Logindsamlere , som viser alle de logindsamlere, der er installeret på din lejer.
Vælg linket Tilføj logindsamler . I dialogboksen Opret logopsamler skal du derefter angive:
Mark Beskrivelse Navn Angiv et sigende navn baseret på vigtige oplysninger, som logindsamleren bruger, f.eks. din interne navngivningsstandard eller en placering på et websted. Værts-IP-adresse eller FQDN Angiv IP-adressen for din logopsamlers værtsmaskine eller vm. Sørg for, at din syslog-tjeneste eller firewall kan få adgang til den IP-adresse/FQDN, du angiver. Datakilde(r) Vælg den datakilde, du vil bruge. Hvis du bruger flere datakilder, anvendes den valgte kilde på en separat port, så logindsamleren fortsat kan sende data på en ensartet måde.
Følgende liste viser f.eks. eksempler på kombinationer af datakilder og porte:
- Palo Alto: 601
- Kontrolpunkt: 602
- ZScaler: 603Vælg Opret for at få vist yderligere instruktioner på skærmen for din specifikke situation.
Kopiér den viste kommando, og rediger den efter behov baseret på den objektbeholdertjeneste, du bruger. Det kan f.eks. være:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterKør den ændrede kommando på computeren for at installere objektbeholderen. Når det lykkes, viser loggene, at der trækkes et billede fra mcr.microsoft.com og fortsætter med at oprette blobs for objektbeholderen.
Når objektbeholderen er udrullet fuldt ud, skal du kontrollere, at den fungerer, ved at kontrollere med objektbeholdertjenesten:
podman ps
Bemærk!
Podman-objektbeholdere starter ikke automatisk, når værtsserveren genstartes. Hvis du genstarter Podman-værtscomputeren, skal du også starte objektbeholderen igen.
Fejlfinding
Hvis du ikke får firewalllogge fra din Podman-objektbeholder, skal du kontrollere følgende:
Sørg for, at rsyslog roterer på logopsamleren.
Hvis du har foretaget ændringer, skal du vente et par timer og køre følgende kommando for at se, om noget er ændret:
podman logs <container name>hvor
<container name>er navnet på den objektbeholder, du bruger.Hvis loggene stadig ikke sendes, skal du kontrollere, at objektbeholderen er installeret ved hjælp af flaget
--privileged. Hvis du ikke har installeret din objektbeholder med flaget--privileged, indsamler objektbeholderen ikke overførte filer til værtscomputeren.
Relateret indhold
Du kan få flere oplysninger under Konfigurer automatisk logoverførsel for fortløbende rapporter.