Jaa

Automaattisen lokin lataamisen määrittäminen Podmanin avulla

  • Artikkeli

Huomautus

Microsoft Defender for Cloud Apps on nyt osa Microsoft Defender XDR, joka korreloi signaaleja koko Microsoft Defender ohjelmistosta ja tarjoaa tapahtumatason tunnistuksen, tutkinnan ja tehokkaat vastausominaisuudet. Lisätietoja on Microsoft Defender XDR kohdassa Microsoft Defender for Cloud Apps.

Tässä artikkelissa kuvataan, miten voit määrittää automaattisen lokin lataamisen jatkuville raporteille Defender for Cloud Apps Podman-säilön avulla Linuxissa paikallisessa palvelimessa. Asiakkaiden, jotka käyttävät RHEL 7.1:tä tai uudempaa, on käytettävä Podmania automaattiseen lokien keräämiseen.

Ennakkovaatimukset

Ennen kuin aloitat:

  • Varmista, että käytät säilöä, jossa on RHEL 7.1 tai uudempi.
  • Koska Docker ja Podman eivät voi olla samassa koneessa, varmista, että poistat Docker-asennusten asennuksen ennen Podmanin suorittamista.
  • Varmista, että olet kirjautunut RHEL-koneeseen käyttäjänä root , jotta voit ottaa Podmanin käyttöön

Asennus ja määritys

  1. Kirjaudu sisään Microsoft Defender XDR ja valitse Asetukset > Pilvisovellukset Pilvipalvelun > etsinnän > automaattinen lokin lataaminen.

  2. Varmista, että tietolähde on määritetty Tietolähteet-välilehdellä . Jos et tee niin, lisää tietolähde valitsemalla Lisää tietolähde .

  3. Valitse Log collectors -välilehti, jossa luetellaan kaikki vuokraajassasi käyttöönotetut lokinkerääjät.

  4. Valitse Lisää lokinkerääjä -linkki. Kirjoita sitten Luo lokinkeräin -valintaikkunaan:

    Kenttä Kuvaus
    Name (Nimi) Anna kuvaava nimi lokinkeräimen käyttämien avaintietojen, kuten sisäisen nimeämisstandardin tai sivuston sijainnin, perusteella.
    Isännän IP-osoite tai toimialuenimi Anna lokikeräimen isäntäkoneen tai näennäiskoneen IP-osoite. Varmista, että syslog-palvelusi tai palomuurisi voi käyttää antamaasi IP-osoitetta tai FQDN:iä.
    Tietolähteet Valitse tietolähde, jota haluat käyttää. Jos käytät useita tietolähteitä, valittua lähdettä käytetään erilliseen porttiin, jotta lokinkeräin voi edelleen lähettää tietoja yhdenmukaisesti.

    Esimerkiksi seuraavassa luettelossa on esimerkkejä tietolähde- ja porttiyhdistelmistä:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Valitse Luo , niin näet lisäohjeita näytössä tiettyä tilannettasi varten.

  6. Kopioi näytettävä komento ja muokkaa sitä tarpeen mukaan käyttämäsi säilöpalvelun perusteella. Esimerkki:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Ota säilö käyttöön suorittamalla muokattu komento tietokoneessasi. Kun tämä onnistuu, lokit näyttävät kuvan hakemisen mcr.microsoft.com ja blob-objektien luomisen jatkamisen säilölle.

  8. Kun säilö on täysin käytössä, varmista, että se toimii, tarkistamalla säilöpalvelu:

    podman ps

Huomautus

Podman-säilöt eivät käynnisty automaattisesti, kun isäntäpalvelin käynnistetään uudelleen. Podman-isäntäkoneen uudelleenkäynnistäminen edellyttää myös säilön käynnistämistä uudelleen.

Vianmääritys

Jos et saa palomuurilokeja Podman-säilöstä, tarkista seuraavat asiat:

  1. Varmista, että rsyslog kiertyy lokikeräimen päällä.

  2. Jos olet tehnyt muutoksia, odota muutama tunti ja suorita seuraava komento, jotta näet, onko mikään muuttunut:

    podman logs <container name>

    jossa <container name> on käyttämäsi säilön nimi.

  3. Jos lokeja ei edelleenkään lähetetä, varmista, että säilö on otettu käyttöön -merkinnän --privileged avulla. Jos et ole ottanut säilöäsi käyttöön -merkinnän --privileged kanssa, säilö ei kerää ladattuja tiedostoja isäntäkoneeseen.

Aiheeseen liittyvä sisältö

Lisätietoja on kohdassa Automaattisen lokin lataamisen määrittäminen jatkuville raporteille.