Compartir a través de

Configurar la carga automática de registros para obtener informes continuos

  • Artículo

Los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP. Cada registro se procesa, comprime y transmite automáticamente al portal. Los registros FTP se cargan en Microsoft Defender para aplicaciones en la nube después de que el archivo haya finalizado la transferencia FTP al recopilador de registros. En el caso de los archivos Syslog, la biblioteca de registros escribe los registros recibidos en el disco. Cuando el tamaño del archivo sea superior a 40 KB, el recopilador de registros lo cargará en Defender for Cloud Apps.

Después de cargar un registro en Defender para aplicaciones en la nube, se mueve a un directorio de copia de seguridad. El directorio de copia de seguridad almacena los últimos 20 registros. Cuando llegan nuevos registros, se eliminan los antiguos. Cada vez que el espacio en disco del recopilador de registros está lleno, el recopilador de registros quita nuevos registros hasta que tiene más espacio libre en disco (esto no debería ocurrir si se cumplen correctamente los requisitos previos). Recibirá una advertencia en la pestaña Recopiladores de registros de la configuración Cargar registros automáticamente cuando esto ocurra.

Antes de configurar la recopilación automática de archivos de registro, compruebe que el registro coincide con el tipo de registro esperado. Asegúrese de que Defender para aplicaciones en la nube puede analizar el archivo específico. Para obtener más información, consulte Uso de registros de tráfico para la detección de la nube.

Nota:

  • Defender for Cloud Apps proporciona compatibilidad para reenviar registros desde el servidor SIEM al recopilador de registros, suponiendo que los registros se reenvíen en su formato original. Sin embargo, se recomienda integrar el recopilador de registros directamente con el firewall o el proxy.
  • El recopilador de registros comprime los datos antes de cargarlos. El tráfico saliente en el recopilador de registros será el 10 % del tamaño de los registros de tráfico que recibe.
  • Si el recopilador de registros encuentra problemas, recibirá una alerta después de que los datos no se recibieron durante 48 horas.

Requisitos previos

  • Espacio en disco de 250 GB
  • Núcleos de CPU: 2
  • Arquitectura de CPU: Intel® 64 y AMD 64
  • RAM: 4 GB
  • Establecer el firewall como se describe en Requisitos de red

Nota:

Si tiene un recopilador de registros existente y quiere quitarlo antes de implementarlo de nuevo, o si simplemente quiere quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>

docker rm <collector_name>

Nota:

Para instalar una nueva versión del recopilador de registros, deberá detener el recopilador de registros, quitar la imagen actual e instalar la nueva.

Rendimiento del recopilador de registros

El recopilador de registros puede controlar correctamente la capacidad de registro de hasta 50 GB por hora. Los principales cuellos de botella en el proceso de recopilación de registros son:

  • Ancho de banda de red: el ancho de banda de red determina la velocidad de carga del registro.
  • Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y lo compara con la velocidad de carga. En los casos de congestión, el recopilador de registros comienza a quitar los archivos de registro. Si la configuración suele superar los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Contenido relacionado

El recopilador de registros admite el modo de implementación de contenedor . Para más información, vea:

Pasos siguientes

Trabajar con datos de cloud discovery