Määritä jatkuvalle raportille automaattinen lokin lataaminen
Lokikeräilijöiden avulla voit helposti automatisoida lokin lataamisen verkostasi. Lokinkeräin toimii verkossasi ja vastaanottaa lokeja Syslog- tai FTP-yhteyden kautta. Jokainen loki käsitellään, pakataan ja lähetetään portaaliin automaattisesti. FTP-lokit ladataan Microsoft Defender for Cloud Apps sen jälkeen, kun tiedosto on siirretty Log Collectoriin. Syslog-työkalua varten Log Collector kirjoittaa vastaanotetut lokit levylle. Sitten keräystoiminto lataa tiedoston Defender for Cloud Apps, kun tiedoston koko on yli 40 kt.
Kun loki on ladattu Defender for Cloud Apps, se siirretään varmuuskopiohakemistoon. Varmuuskopiohakemisto sisältää viimeiset 20 lokia. Kun uusia lokeja saapuu, vanhat lokit poistetaan. Aina kun lokinkeräimen levytila on täynnä, lokinkerääjä pudottaa uusia lokeja, kunnes levytilaa on enemmän (näin ei pitäisi tapahtua, jos edellytykset täyttyvät oikein). Saat Latauksen lokit -asetustenLog collectors -välilehdessä varoituksen automaattisesti, kun näin tapahtuu.
Ennen kuin määrität automaattisen lokitiedostokokoelman, tarkista, että loki vastaa odotettua lokityyppiä. Haluat varmistaa, että Defender for Cloud Apps voi jäsentää tietyn tiedoston. Lisätietoja on artikkelissa Liikennelokien käyttäminen pilvitietojen etsimistä varten.
Huomautus
- Defender for Cloud Apps tukee lokien edelleenlähetystä SIEM-palvelimesta Log Collectoriin olettaen, että lokit välitetään niiden alkuperäisessä muodossa. On kuitenkin erittäin suositeltavaa integroida lokinkeräin suoraan palomuuriin ja/tai välityspalvelimeen.
- Lokinkeräin pakkaa tiedot ennen niiden lataamista. Lokinkeräimen lähtevä liikenne on 10 prosenttia sen vastaanottamien liikennelokien koosta.
- Jos lokinkerääjä kohtaa ongelmia, saat ilmoituksen, kun tietoja ei ole vastaanotettu 48 tuntiin.
Ennakkovaatimukset
- Levytila 250 Gt
- Suorittimen ytimet: 2
- Suoritinarkkitehtuuri: Intel® 64 ja AMD 64
- RAM: 4 Gt
- Määritä palomuuri kohdassa Verkkovaatimukset kuvatulla tavalla
Huomautus
Jos sinulla on aiemmin luotu lokinkeräin ja haluat poistaa sen ennen sen käyttöönottoa uudelleen tai jos haluat poistaa sen, suorita seuraavat komennot:
docker stop <collector_name>
docker rm <collector_name>
Huomautus
Jos haluat asentaa uuden lokikeräysversion, sinun on pysäytettävä lokinkeruutyökalu, poistettava nykyinen kuva ja asennettava uusi.
Lokinkeräimen suorituskyky
Log collector pystyy käsittelemään lokikapasiteettia, joka on enintään 50 Gt tunnissa. Lokinkeruuprosessin tärkeimmät pullonkaulat ovat seuraavat:
- Verkon kaistanleveys – Verkon kaistanleveys määrittää lokin latausnopeuden.
- Näennäiskoneen I/O-suorituskyky – Määrittää nopeuden, jolla lokit kirjoitetaan lokinkeräimen levylle. Lokikeräimissä on sisäinen turvamekanismi, joka valvoo lokien saapumisnopeutta ja vertaa sitä latausmäärään. Ruuhkautumisen yhteydessä lokinkeräin alkaa pudottaa lokitiedostoja. Jos määrityksesi ovat yleensä yli 50 Gt tunnissa, on suositeltavaa jakaa liikenne useiden lokikeräimien välillä.
Aiheeseen liittyvä sisältö
Log Collector tukee säilön käyttöönottotilaa. Lisätietoja on seuraavissa artikkeleissa:
- Automaattisen lokin lataamisen määrittäminen paikallisen Dockerin avulla Windowsissa
- Automaattisen lokin lataamisen määrittäminen Podmanin avulla
- Automaattisen lokin lataamisen määrittäminen Dockerin avulla Azuressa
- Automaattisen lokin lataamisen määrittäminen Dockerin avulla Azuren Kubernetes-palvelu (AKS)