Freigeben über

Konfigurieren des automatischen Protokolluploads mit Docker in Azure Kubernetes Service (AKS)

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe eines Docker-Containers auf Azure Kubernetes Service (AKS) konfigurieren.

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft Defender XDR, das Signale aus der gesamten Microsoft Defender Suite korreliert und erkennungs-, untersuchungs- und reaktionsfähige Funktionen auf Incidentebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

Einrichtung und Konfiguration

  1. Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload aus.

  2. Stellen Sie sicher, dass auf der Registerkarte Datenquellen eine Datenquelle definiert ist. Wenn dies nicht der Fall ist, wählen Sie Datenquelle hinzufügen aus, um eine hinzuzufügen.

  3. Wählen Sie die Registerkarte Protokollsammler aus, auf der alle auf Ihrem Mandanten bereitgestellten Protokollsammler aufgelistet sind.

  4. Wählen Sie den Link Protokollsammler hinzufügen aus. Geben Sie dann im Dialogfeld Protokollsammler erstellen Folgendes ein:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen ein, basierend auf wichtigen Informationen, die der Protokollsammler verwendet, z. B. Ihrem internen Benennungsstandard oder einem Standort.
    Host-IP-Adresse oder FQDN Geben Sie den Hostcomputer oder die IP-Adresse des virtuellen Computers (VM) Ihres Protokollsammlers ein. Stellen Sie sicher, dass Ihr Syslog-Dienst oder Ihre Firewall auf die eingegebene IP-Adresse bzw. den FQDN zugreifen kann.
    Datenquelle(en) Wählen Sie die Datenquelle aus, die Sie verwenden möchten. Wenn Sie mehrere Datenquellen verwenden, wird die ausgewählte Quelle auf einen separaten Port angewendet, damit der Protokollsammler weiterhin Daten konsistent senden kann.

    Die folgende Liste enthält beispielsweise Beispiele für Datenquellen- und Portkombinationen:
    - Palo Alto: 601
    – CheckPoint: 602
    – ZScaler: 603

  5. Wählen Sie Erstellen aus, um weitere Anweisungen für Ihre spezifische Situation auf dem Bildschirm anzuzeigen.

  6. Wechseln Sie zu Ihrer AKS-Clusterkonfiguration, und führen Sie Folgendes aus:

    kubectl config use-context <name of AKS cluster>

  7. Führen Sie den Helm-Befehl mit der folgenden Syntax aus:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Suchen Sie die Werte für den helm-Befehl mithilfe des docker-Befehls, der beim Konfigurieren des Collectors verwendet wird. Zum Beispiel:

    (echo <Generated ID>) | docker run --name SyslogTLStest

Bei erfolgreicher Ausführung wird in den Protokollen das Pullen eines Images aus mcr.microsoft.com und die weitere Erstellung von Blobs für den Container angezeigt.

Verwandte Inhalte

Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte.