Jaa

Automaattisen lokin lataamisen määrittäminen paikallisen Dockerin avulla Windowsissa

  • Artikkeli

Voit määrittää automaattisen lokin lataamisen jatkuville raporteille Defender for Cloud Apps Windowsin Docker-toiminnolla.

Ennakkovaatimukset

  • Arkkitehtuurimääritykset:

    Spesifikaatio Kuvaus
    Käyttöjärjestelmä Jokin seuraavista:
  • Windows 10 (syksyn luojien päivitys)
  • Windows Server, versio 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Levytila 250 Gt
    Suorittimen ytimet 2
    Suoritinarkkitehtuuri Intel 64 ja AMD 64
    OINAS 4 Gt

    Luettelo tuetuista Docker-arkkitehtuureista on Docker-asennuksen ohjeissa.

  • Määritä palomuuri tarpeen mukaan. Lisätietoja on kohdassa Verkkovaatimukset.

  • Käyttöjärjestelmän virtualisointi on otettava käyttöön Hyper-V:n kanssa.

Tärkeää

  • Yritysasiakkaat, joilla on yli 250 käyttäjää tai yli 10 miljoonan dollarin vuosituotto, tarvitsevat maksullisen tilauksen, jotta he voivat käyttää Docker Desktop for Windowsia. Lisätietoja on artikkelissa Docker-tilauksen yleiskatsaus.
  • Käyttäjän on oltava kirjautuneena sisään, jotta Docker voi kerätä lokeja. Suosittelemme, että neuvot Docker-käyttäjiä katkaisemaan yhteyden kirjautumatta ulos.
  • Docker for Windowsia ei virallisesti tueta VMWare-virtualisointiskenaarioissa.
  • Docker for Windowsia ei virallisesti tueta sisäkkäiset virtualisointiskenaariot. Jos aiot edelleen käyttää sisäkkäistä virtualisointia, katso Dockerin virallinen opas.
  • Lisätietoja Docker for Windowsin muista määritys- ja toteutusasioista on artikkelissa Docker Desktopin asentaminen Windowsiin.

Poista aiemmin luotu lokinkeräin

Jos sinulla on aiemmin luotu lokinkeräin ja haluat poistaa sen ennen sen käyttöönottoa uudelleen tai jos haluat poistaa sen, suorita seuraavat komennot:

docker stop <collector_name>
docker rm <collector_name>

Lokinkeräimen suorituskyky

Lokinkeräin pystyy käsittelemään lokikapasiteettia, joka on enintään 50 Gt tunnissa. Lokinkeruuprosessin tärkeimmät pullonkaulat ovat seuraavat:

  • Verkon kaistanleveys – Verkon kaistanleveys määrittää lokin latausnopeuden.

  • Näennäiskoneen I/O-suorituskyky – Määrittää nopeuden, jolla lokit kirjoitetaan lokinkeräimen levylle. Lokikeräimissä on sisäinen turvamekanismi, joka valvoo lokien saapumisnopeutta ja vertaa sitä latausmäärään. Ruuhkautumisen yhteydessä lokinkeräin alkaa pudottaa lokitiedostoja. Jos määrityksesi ovat yleensä yli 50 Gt tunnissa, on suositeltavaa jakaa liikenne useiden lokikeräimien välillä.

Vaihe 1 – Verkkoportaalin määrittäminen

Seuraavien vaiheiden avulla voit määrittää tietolähteet ja linkittää ne lokinkerääjään. Yksittäinen lokinkeräin voi käsitellä useita tietolähteitä.

  1. Valitse Microsoft Defender portaalissa Asetukset>Pilvisovellukset Pilvipalvelun>etsinnän>Automaattinen lokin lataaminen>Tietolähteet -välilehti.

  2. Luo jokaiselle palomuurille tai välityspalvelimelle, josta haluat ladata lokit, vastaava tietolähde:

    1. Valitse +Lisää tietolähde.

      Näyttökuva Lisää tietolähde -painikkeesta.

    2. Nimeä välityspalvelin tai palomuuri.

      Näyttökuva Lisää tietolähde -valintaikkunasta

    3. Valitse laite Lähde-luettelosta . Jos valitset Mukautetun lokimuodon toimiaksesi verkkolaitteessa, jota ei ole luettelossa, katso määritysohjeet kohdasta Mukautetun lokin jäsentimen käyttäminen .

    4. Vertaa lokia odotetun lokimuodon otokseen. Jos lokitiedoston muoto ei vastaa tätä mallia, lisää tietolähteeksi Muu.

    5. Määritä vastaanottimen tyypiksijoko FTP, FTPS, Syslog – UDP tai Syslog – TCP tai Syslog – TLS.

      Huomautus

      Integrointi suojatuissa siirtoprotokollissa (FTPS ja Syslog – TLS) edellyttää usein lisäasetuksia palomuurille/välityspalvelimelle.

    6. Toista tämä prosessi jokaiselle palomuurille ja välityspalvelimelle, joiden lokien avulla voidaan tunnistaa liikennettä verkossasi. Suosittelemme, että määrität verkkolaitetta kohden erillisen tietolähteen, jotta voit tehdä seuraavaa:

      • Valvo kunkin laitteen tilaa erikseen tutkintaa varten.
      • Tutustu varjo-IT-etsintään laitetta kohti, jos kutakin laitetta käytetään eri käyttäjän segmentissä.

  3. Valitse sivun yläreunassa Log collectors -välilehti ja valitse sitten Lisää lokinkeräin.

  4. Valitse Luo lokinkeräin -valintaikkuna:

    1. Kirjoita Nimi-kenttään logaritmin keräimen kuvaava nimi.

    2. Anna lokinkerääjälle nimi ja anna sen tietokoneen Isännän IP-osoite (yksityinen IP-osoite), jota käytät Dockerin käyttöönottoon. Isännän IP-osoite voidaan korvata tietokoneen nimellä, jos isäntänimen ratkaisee DNS-palvelin (tai vastaava).

    3. Valitse kaikki tietolähteet , jotka haluat yhdistää keräilijään, ja tallenna määritys valitsemalla Päivitä .

      Seuraavat vaiheet -osiossa on lisätietoja käyttöönotosta, mukaan lukien komento, jota käytät myöhemmin keräimen määrityksen tuomiseen. Jos valitsit Syslog-tekstin, nämä tiedot sisältävät myös tietoja siitä, mitä porttia Syslog-kuuntelutoiminto kuuntelee.

    4. Kopioi leikepöydälle -kuvake.Kopioi painike, jos haluat kopioida komennon leikepöydälle ja tallentaa sen erilliseen sijaintiin.

    5. Vie odotettu tietolähdemääritys Vie vie -painikkeella. Tässä määrityksessä kuvataan, miten voit määrittää lokin viennin laitteissasi.

Jos käyttäjä lähettää lokitietoja FTP:n kautta ensimmäistä kertaa, suosittelemme vaihtamaan FTP-käyttäjän salasanan. Lisätietoja on artikkelissa FTP-salasanan vaihtaminen.

Vaihe 2 – Tietokoneen paikallinen käyttöönotto

Seuraavissa vaiheissa kuvataan käyttöönotto Windowsissa. Muiden ympäristöjen käyttöönottovaiheet ovat hieman erilaiset.

  1. Avaa PowerShell-pääte järjestelmänvalvojana Windows-tietokoneessasi.

  2. Lataa Windows Docker installer PowerShell -komentosarjatiedosto suorittamalla seuraava komento:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Jos haluat varmistaa, että Microsoft on allekirjoittanut asennusohjelman, katso asennusohjelman allekirjoituksen vahvistaminen.

  3. Jos haluat ottaa PowerShell-komentosarjan suorittamisen käyttöön, suorita:

    Set-ExecutionPolicy RemoteSigned`

  4. Asenna Docker-asiakasohjelma tietokoneeseen suorittamalla:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Tietokone käynnistyy automaattisesti uudelleen komennon suorittamisen jälkeen.

  5. Kun kone on toiminnassa uudelleen, suorita sama komento uudelleen:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Suorita Docker-asennusohjelma ja valitse, käytetäänkö WSL 2:ta Hyper-V:n sijaan.

    Kun asennus on valmis, tietokone käynnistyy uudelleen automaattisesti.

  7. Kun uudelleenkäynnistys on valmis, avaa Docker-asiakasohjelma ja hyväksy Docker-tilaussopimus.

  8. Jos WSL2-asennus ei ole valmis, näyttöön tulee sanoma, joka ilmaisee, että WSL 2 Linux -ydin on asennettu käyttäen erillistä MSI-päivityspakettia.

  9. Viimeistele asennus lataamalla paketti. Lisätietoja on kohdassa Linux-ytimen päivityspaketin lataaminen.

  10. Avaa Docker Desktop -asiakasohjelma uudelleen ja varmista, että se on käynnistynyt.

  11. Avaa komentokehote järjestelmänvalvojana ja anna suorituskomento, jonka kopioit aiemmin portaalista vaiheessa 1 – Verkkoportaalin määritykset.

    Jos sinun on määritettävä välityspalvelin, lisää välityspalvelimen IP-osoite ja portin numero. Jos välityspalvelimen tiedot ovat esimerkiksi 172.31.255.255:8080, päivitetty suorituskomento on:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Jos haluat varmistaa, että keräin toimii oikein, suorita:

    docker logs <collector_name>

    Sanoman pitäisi näkyä: Toiminto onnistui! Esimerkiksi:

    Näyttökuva komennosta, jota keräystoiminto suorittaa oikein.

Vaihe 3 – Verkkolaitteiden paikallinen määritys

Määritä verkon palomuurit ja välityslaitteet viemään lokit määräajoin FTP-hakemiston erilliseen Syslog-porttiin valintaikkunan ohjeiden mukaisesti. Esimerkki:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Vaihe 4 – Tarkista onnistunut käyttöönotto portaalissa

Tarkista keräimen tila lokinkeräystaulukosta ja varmista, että tila on Yhdistetty. Jos se on luotu, lokinkeräysyhteys ja jäsennys eivät ehkä ole valmiita.

Varmista, että keräimen tila on Yhdistetty.

Voit myös siirtyä hallintolokiin ja varmistaa, että lokit ladataan ajoittain portaaliin.

Vaihtoehtoisesti voit tarkistaa lokinkerääjän tilan docker-säilöstä seuraavien komentojen avulla:

  1. Kirjaudu sisään säilöön:

    docker exec -it <Container Name> bash

  2. Tarkista lokinkeruutyökalun tila:

    collector_status -p

Jos sinulla on ongelmia käyttöönoton aikana, katso Pilven etsinnän vianmääritys.

Valinnainen – Luo mukautettuja jatkuvia raportteja

Varmista, että lokit ladataan Defender for Cloud Apps ja että raportit luodaan. Luo mukautettuja raportteja vahvistuksen jälkeen. Voit luoda mukautettuja etsintäraportteja Microsoft Entra käyttäjäryhmien perusteella. Jos esimerkiksi haluat tarkastella markkinointiosastosi pilvikäyttöä, tuo markkinointiryhmä tuontikäyttäjäryhmäominaisuuden avulla. Luo sitten mukautettu raportti tälle ryhmälle. Voit myös mukauttaa raporttia IP-osoitetunnisteen tai IP-osoitealueiden perusteella.

  1. Valitse Microsoft Defender portaalissa Asetukset>Pilvisovellukset>Pilvipalvelun etsinnän>jatkuvat raportit.

  2. Valitse Luo raportti -painike ja täytä kentät.

  3. Suodattimet-kohdassa voit suodattaa tiedot tietolähteen, tuodun käyttäjäryhmän tai IP-osoitetunnisteiden ja -alueiden mukaan.

    Huomautus

    Kun otat suodattimia käyttöön jatkuvissa raporteissa, valinta sisällytetään, eikä sitä jätetä pois. Jos esimerkiksi käytät suodatinta tietyssä käyttäjäryhmässä, raporttiin sisällytetään vain kyseinen käyttäjäryhmä.

    Mukautettu jatkuva raportti.

Valinnainen - Vahvista asennusohjelman allekirjoitus

Varmista, että Microsoft on allekirjoittanut docker-asennusohjelman:

  1. Napsauta tiedostoa hiiren kakkospainikkeella ja valitse Ominaisuudet.

  2. Valitse Digitaaliset allekirjoitukset ja varmista, että siinä lukee Tämä digitaalinen allekirjoitus on OK.

  3. Varmista, että Microsoft Corporation on merkitty ainoaksi merkinnäksi kohdassa Allekirjoittajan nimi.

    Digitaalinen allekirjoitus kelpaa.

    Jos digitaalinen allekirjoitus ei ole kelvollinen, se ilmoittaa, että tämä digitaalinen allekirjoitus ei kelpaa:

    Digitaalinen allekirjoitus ei kelpaa.

Seuraavat vaiheet

Muokkaa lokinkeräimen FTP-määritystä

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.