Jaa

Edistynyt lokinkerääjän hallinta

  • Artikkeli

Tässä artikkelissa kuvataan Defender for Cloud Apps pilvihaun lokien keräilijöiden lisäasetusten määrittäminen.

Defender for Cloud Apps pilvipalvelun etsintä keskittyy edelleen palomuurin perusmuotoihin. Palomuuritasolla edelleen lähetettävien lokien muutokset eivät välttämättä enää toimi, tai ne saattavat aiheuttaa jäsennysongelmia. Jos löydät tämän tyyppisiä virheitä, suosittelemme jatkamaan palomuurin perusmuodon käyttämistä tai käyttämään asetuksia mukautetun lokinkeräimen kanssa. Lisätietoja on artikkelissa Mukautetun lokin jäsentimen käyttäminen.

Tässä artikkelissa kuvataan, miten voit muokata Defender for Cloud Apps cloud discovery Dockerin määrityksiä.

Muokkaa lokinkeräimen FTP-määritystä

Näiden vaiheiden avulla voit muokata Defender for Cloud Apps pilvipalvelun etsinnän Dockerin määrityksiä.

Tarkista lokinkeräimen versio

Vahvista järjestelmään asennettuna olevan lokikeräimen versio muodostamalla yhteys lokinkeräimen isäntään ja suorittamalla:

cat /var/adallom/versions | grep columbus-

FTP-salasanan muuttaminen

Tässä ohjeartikkelissa kuvataan, miten lokitietojen keräilytiedostojen käyttämiseen käytetty salasana muutetaan:

  1. Muodosta yhteys lokinkeräimen isäntään ja suorita:

    docker exec -it <collector name> pure-pw passwd <ftp user>

  2. Anna uusi salasanasi ja vahvista kirjoittamalla se uudelleen.

  3. Ota muutos käyttöön suorittamalla seuraava komento:

    docker exec -it <collector name> pure-pw mkdb

Sinun pitäisi pystyä tarkastelemaan seuraavaa sisältöä:

  • run_logs
  • ssl_update
  • config.json

Varmennetiedostojen mukauttaminen

Tässä ohjeessa kuvataan, miten voit mukauttaa varmennetiedostoja, joita käytetään suojattuihin yhteyksiin pilvipalvelussa etsittävä Docker-esiintymään.

  1. Avaa FTP-asiakasohjelma ja muodosta yhteys lokinkerääjän isäntään.

  2. Siirry ssl_update hakemistoon ja lataa uudet varmennetiedostot, mukaan lukien seuraavat tiedostot:

    Vastaanottimen tyyppi Pakolliset tiedostot
    FTP - pure-ftpd.pem: Sisältää avain- ja varmennetiedot
    Syslog - ca.pem: Varmenteen myöntäjän varmenne, jota käytettiin asiakkaan varmenteen allekirjoittamiseen.
    - server-key.pem ja server-cert.pem: Lokinkerääjän varmenne ja avain

    Syslog-viestit lähetetään TLS:n kautta lokinkerääjälle, mikä edellyttää keskinäistä TLS-todennusta, mukaan lukien sekä asiakas- että palvelinvarmenteiden todentaminen.

    Tiedostonimet ovat pakollisia. Jos jokin tiedostoista puuttuu, päivitys epäonnistuu.

  3. Suorita pääteikkunassa:

    docker exec -t <collector name> update_certs

    Tulosteen pitäisi näyttää samalta kuin seuraava koodi:

    root@DockerPlayground:~# docker exec -t columbus update_certs
rsyslog: stopped
rsyslog: started
ftpd: stopped
ftpd: started
root@DockerPlayground:~#

  4. Suorita pääteikkunassa:

    docker exec <collector name> chmod -R 700 /etc/ssl/private/

Lokinkeräimen ottaminen käyttöön välityspalvelimen takana

Jos suoritat välityspalvelimen takana, lokinkerääjällä voi olla ongelmia tietojen lähettämisessä Defender for Cloud Apps. Näin voi käydä esimerkiksi siksi, että lokinkeräystoiminto ei luota välityspalvelimen päävarmenteiden myöntäjään eikä voi muodostaa yhteyttä Microsoft Defender for Cloud Apps sen määrityksen noutamiseksi tai vastaanotettujen lokien lataamiseksi.

Seuraavissa ohjeissa kuvataan, miten voit ottaa lokikeräimen käyttöön välityspalvelimen takana.

Vihje

Haluat ehkä myös vaihtaa lokinkeräimen käyttämät varmenteet Syslokia tai FTP:tä varten tai ratkaista yhteysongelmia palomuurista ja välitystiedoista lokinkerääjään. Lisätietoja on artikkelissa Log Collector FTP -määritysten muokkaaminen.

Lokinkeräimen määrittäminen välityspalvelimen taakse

Varmista, että olet suorittanut tarvittavat vaiheet Dockerin suorittamiseksi Windows- tai Linux-tietokoneessa ja ladannut Defender for Cloud Apps Docker -kuvan isäntäkoneeseen.

Lisätietoja on kohdassa Automaattisen lokin lataamisen määrittäminen jatkuville raporteille.

Vahvista Docker-lokikeräyssäilön luominen

Varmista, että säilö luotiin ja että se on käynnissä. Suorita -liittymässä:

docker ps

Sinun pitäisi nähdä jotain seuraavankaltaista:

Näyttökuva suoritettavasta Docker-säilöstä.

Kopioi välityspalvelimen päämyöntäjän varmenne säilöön

Kopioi varmenteiden myöntäjän varmenne näennäiskoneesta Defender for Cloud Apps säilöön. Seuraavassa esimerkissä säilön nimi on Ubuntu-LogCollector ja varmenteiden myöntäjän varmenteen myöntäjän nimi on Proxy-CA.crt.

Seuraava komento kopioi varmenteen käynnissä olevan säilön kansioon. Suorita komento Ubuntu-isännässä:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Määritä määritys toimimaan varmenteiden myöntäjän varmenteen kanssa

  1. Siirry säilöön. Avaa bash lokinkeräyssäilössä suorittamalla seuraava komento:

    docker exec -it Ubuntu-LogCollector /bin/bash

  2. Siirry säilön sisällä olevasta bash-ikkunasta Java-kansioon jre . Voit välttää versioon liittyvän polkuvirheen käyttämällä seuraavaa komentoa:

    cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
cd bin

  3. Tuo aiemmin kopioimasi päävarmenne etsintäkansiosta Java KeyStoreen ja määritä salasana.

    Oletussalasana on changeit. Lisätietoja on ohjeaiheessa Java KeyStore -salasanan muuttaminen.

    ./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>

  4. Varmista, että varmenne on tuotu oikein varmenteiden myöntäjän avainsäilöön. Etsi tuonnin aikana antamasi alias (SelfSignedCert) suorittamalla seuraava komento:

    ./keytool --list --keystore ../lib/security/cacerts | grep self

Tuotu välityspalvelimen varmenteiden myöntäjän varmenne näytetään.

Rajoita IP-osoitteita, jotka lähettävät syslog-viestejä Linux-lokikeräystoimintoon

Jotta voit suojata docker-näköistiedoston ja varmistaa, että vain yksi IP-osoite voi lähettää syslog-viestit lokinkerääjälle, luo IP-taulukkosääntö isäntäkoneeseen sallimaan syöttöliikenne ja pudottamaan tiettyjen porttien, kuten TCP/601 tai UDP/514, kautta tulevan liikenteen käyttöönoton mukaan.

Seuraava komento näyttää esimerkin siitä, miten voit luoda IP-taulukkosäännön, joka voidaan lisätä isäntäkoneeseen. Tämän taulukkosäännön avulla IP-osoite 1.2.3.4 voi muodostaa yhteyden lokinkeräyssäilöön TCP-portin 601 kautta ja poistaa kaikki muut yhteydet, jotka ovat peräisin muista IP-osoitteista samassa portissa.

iptables -I DOCKER-USER \! --src 1.2.3.4 -m tcp -p tcp --dport 601 -j DROP

Määritä lokinkeräin suoritettavaksi uuden määrityksen kanssa

Säilö on nyt valmis.

Suorita collector_config-komento käyttämällä ohjelmointirajapintatunnusta, jota käytit lokinkeräimen luonnin aikana. Esimerkki:

Näyttökuva Luo lokinkeräys -valintaikkunasta.

Kun suoritat komennon, määritä oma ohjelmointirajapinnan tunnus, kuten collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

Esimerkki:

Näyttökuva määrityspäivityksen esimerkistä.

Lokikeräin voi nyt viestiä Defender for Cloud Apps kanssa. Kun tiedot on lähetetty Defender for Cloud Apps, lokinkeräimen tila muuttuu Kunnossa-tilastaYhdistetyt-tilaan. Esimerkki:

Näyttökuva latauksen tilasta.

Huomautus

Jos sinun on päivitettävä lokinkeräimen määritys esimerkiksi tietolähteen lisäämiseksi tai poistamiseksi, sinun on yleensä poistettava säilö ja suoritettava edelliset vaiheet uudelleen.

Voit välttää tämän suorittamalla collector_config-työkalun uudelleen Defender for Cloud Apps portaalissa luodulla uudella ohjelmointirajapintatunnuksella.

Java KeyStore -salasanan muuttaminen

  1. Pysäytä Java KeyStore -palvelin.

  2. Avaa bash-liittymä säilössä ja siirry appdata/conf-kansioon .

  3. Jos haluat vaihtaa palvelimen KeyStore-salasanan, suorita:

    keytool -storepasswd -new newStorePassword -keystore server.keystore
-storepass changeit

    Palvelimen oletussalasana on changeit.

  4. Jos haluat vaihtaa varmenteen salasanan, suorita:

    keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword

    Palvelimen oletustunnus on palvelin.

  5. Avaa tekstieditorissa tiedosto server-install\conf\server\secured-installed.properties . Lisää seuraavat koodirivit ja tallenna sitten muutokset:

    1. Määritä palvelimen uusi Java KeyStore -salasana: server.keystore.password=newStorePassword
    2. Määritä palvelimen uusi varmennesalasana: server.key.password=newKeyPassword

  6. Käynnistä palvelin.

Siirrä lokinkeräin eri tietojen osioon Linuxissa

Monilla yrityksillä on vaatimus siirtää tiedot erilliseen osioon. Tässä ohjeartikkelissa kuvataan, miten voit siirtää Defender for Cloud Apps Docker-lokinkerääjän kuvat Linux-isännän tieto-osioon.

Tässä ohjeessa kuvataan tietojen siirtäminen tietosäilöksi kutsuttuun osioon ja oletetaan, että olet jo määrittänyt osion. Esimerkki:

Luettelo Linux-osioista.

Uuden osion lisääminen ja määrittäminen Linux-isännässä ei kuulu tämän oppaan piiriin.

Voit siirtää lokinkeräimen eri osioon seuraavasti:

  1. Pysäytä Docker-palvelu. Juosta:

    service docker stop

  2. Siirrä lokinkeräystiedot uuteen osioon. Juosta:

    mv /var/lib/docker /datastore/docker

  3. Poista vanha Docker-tallennushakemisto (/var/lib/docker) ja luo symbolinen linkki uuteen hakemistoon (/datastore/docker). Juosta:

    rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/

  4. Käynnistä Docker-palvelu. Juosta:

    service docker start

  5. Voit halutessasi tarkistaa lokinkerääjän tilan. Juosta:

    docker ps

Tarkista keräimen levyn käyttö Linuxissa

Tässä ohjeessa kuvataan, miten voit tarkastella lokinkeräimen levyn käyttöä ja sijaintia.

  1. Määritä polku hakemistoon, johon lokinkeräystiedot on tallennettu. Juosta:

    docker inspect <collector_name> | grep WorkDir

    Esimerkki:

    Näyttökuva lokinkeräyshakemiston tunnistamisesta.

  2. Hae keräimen koko levyllä käyttäen tunnistettua polkua ilman "/work"-jälkiliitettä. Juosta:

    du -sh /var/lib/docker/overlay2/<log_collector_id>/

    Näyttökuva levyn keräimen koon tunnistamisesta.

    Huomautus

    Jos haluat tietää vain levyn koon, voit käyttää sen sijaan seuraavaa komentoa: docker ps -s

Siirrä lokinkeräin helppokäyttöiseen isäntään

Säännellyissä ympäristöissä pääsy Docker Hubsiin, jossa lokinkerääjän kuvaa isännöidään, voidaan estää. Tämä estää Defender for Cloud Apps tuomasta tietoja lokinkerääjästä ja voidaan ratkaista siirtämällä lokinkeruutyökalun kuva helppokäyttöisäntään.

Tässä ohjeessa kuvataan, miten lokinkerääjän kuva ladataan tietokoneella, jolla on Docker Hubin käyttöoikeus, ja tuodaan se kohdeisäntään.

Ladattu kuva voidaan tuoda joko yksityiseen säilöön tai suoraan isäntään. Tässä ohjeartikkelissa kuvataan, miten lokinkerääjän näköistiedosto ladataan Windows-tietokoneeseesi ja siirretään sitten WinSCP:n avulla lokinkerääjä kohdeisännälle.

Ennakkovaatimukset

  1. Varmista, että isännässäsi on asennettuna Docker. Käytä esimerkiksi jotakin seuraavista latauksista:

  2. Asenna käyttöjärjestelmä Dockerin offline-asennusoppaan avulla latauksen jälkeen.

    Käynnistä prosessi viemällä lokinkeräimen kuva ja tuomalla kuva kohdeisännällesi.

Lokinkeräimen kuvan vieminen Docker Hubista

Seuraavissa ohjeissa kuvataan, miten voit viedä lokinkeräimen näköistiedoston Linuxin tai Windowsin avulla.

Kuvan vieminen Linuxissa

  1. Asenna Docker suorittamalla seuraava komento Linux-tietokoneessa, jolla on pääsy Docker Hubiin, ja lataa lokinkeräyskuva.

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh

  2. Vie lokinkeräimen kuva. Juosta:

    docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
chmod +r /tmp/mcasLC.tar

    Tärkeää

    Muista käyttää tulosparametria kirjoittamaan tiedostoon STDOUT:n sijaan.

  3. Lataa lokinkerääjän näköistiedosto Windows-tietokoneeseesi kohdassa C:\mcasLogCollector\ WinSCP. Esimerkki:

    Näyttökuva lokikeräimen lataamisesta Windows-tietokoneeseen.

Kuvan vieminen Windowsissa

  1. Asenna Docker Desktop Windows 10 tietokoneeseen, johon on pääsy Docker Hubiin.

  2. Lataa lokinkeräimen kuva. Juosta:

    docker login -u caslogcollector -p C0llector3nthusiast
docker pull mcr.microsoft.com/mcas/logcollector

  3. Vie lokinkeräimen kuva. Juosta:

    docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector

    Tärkeää

    Muista käyttää tulosparametria kirjoittamaan tiedostoon STDOUT:n sijaan.

Tuo ja lataa lokinkeräimen kuva kohdeisännälle

Tässä ohjeessa kuvataan, miten viety kuva siirretään kohdeisännälle.

  1. Lataa lokinkerääjän kuva kohdeisännälle kohdassa /tmp/. Esimerkki:

    Näyttökuva lokinkeräimen lataamisesta kohdeisännälle.

  2. Tuo kohdeisännässä lokinkeräyskuva Docker-kuvien säilöön. Juosta:

    docker load --input /tmp/mcasLC.tar

    Esimerkki:

    Näyttökuva lokinkeräyskuvan tuomisesta Docker-säilön.

  3. Voit myös tarkistaa, että tuonti onnistui. Juosta:

    docker image ls

    Esimerkki:

    Näyttökuva lokinkeräimen tuonnin onnistumisesta.

    Voit nyt jatkaa lokinkeräimen luomista käyttämällä kohdeisännän kuvaa.

Mukautettujen porttien määrittäminen Syslog- ja FTP-vastaanottimia varten Linux-lokikeräijille

Joissakin organisaatioissa on määritettävä mukautetut portit Syslog- ja FTP-palveluille.

Kun lisäät tietolähteen, Defender for Cloud Apps lokinkerääjät käyttävät tiettyjä porttinumeroita yhden tai useamman tietolähteen liikennelokien kuunteluun.

Seuraavassa taulukossa on luettelo vastaanottimien oletuskuunteluporteista:

Vastaanottimen tyyppi Portit
Syslog * UDP/514 - UDP/51x
* TCP/601 - TCP/60x
FTP * TCP/21

Määritä mukautetut portit seuraavien vaiheiden avulla:

  1. Valitse Microsoft Defender portaalissa Asetukset. Valitse sitten Pilvisovellukset.

  2. Valitse Cloud Discovery -kohdassa Automaattinen lokin lataaminen. Valitse sitten Log collectors -välilehti.

  3. Lisää tai muokkaa log collectors -välilehteä Log collectors -välilehdellä ja kopioi suorita-komento valintaikkunasta tietolähteiden päivittämisen jälkeen. Esimerkki:

    Kopioi suorita-komento ohjatusta lokinkerääjätoiminnosta.

    Jos sitä käytetään annettujen ohjeiden mukaisesti, ohjattu toiminto määrittää lokikeräimen käyttämään portteja 514/udp ja 515/udp. Esimerkki:

    (echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Esimerkki:

    Näyttökuva komennosta, joka suoritetaan lokinkerääjän ohjatusta toiminnosta.

  4. Ennen kuin käytät komentoa isäntäkoneessasi, muokkaa komentoa käyttämään mukautettuja porttejasi. Jos haluat esimerkiksi määrittää lokikeräimen käyttämään UDP-portteja 414 ja 415, muuta komentoa seuraavasti:

    (echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Esimerkki:

    Näyttökuva mukautetusta suorituskomennon komennosta.

    Huomautus

    Vain Docker-yhdistämismääritystä muokataan. Sisäisesti määritettyjä portteja ei muuteta, joten voit valita isännän kuunteluportin.

Tarkista lokinkeräimen Vastaanottama liikenteen ja lokin muoto Linuxissa

Joskus saatat joutua tutkimaan esimerkiksi seuraavia asioita:

  • Lokinkerääjät vastaanottavat tietoja: Varmista, että lokikeräimet vastaanottavat Syslog-viestejä laitteistasi, eivätkä palomuurit estä niitä.
  • Vastaanotetut tiedot ovat oikeassa lokimuodossa: Tarkista lokimuoto, jotta voit tehdä jäsennysvirheiden vianmäärityksen vertaamalla Defender for Cloud Apps ja laitteen lähettämää lokimuotoa.

Seuraavien vaiheiden avulla voit varmistaa, että lokinkerääjät vastaanottavat liikenteen:

  1. Kirjaudu palvelimeen, joka isännöi Docker-säilöä.

  2. Varmista, että lokinkerääjä vastaanottaa Syslog-viestejä jollakin seuraavista menetelmistä:

    • Analysoi portin 514 verkkoliikennettä tcpdump-komennolla tai vastaavalla komennolla:

      tcpdump -Als0 port 514

      Jos kaikki on määritetty oikein, sinun pitäisi nähdä laitteiden verkkoliikenne. Esimerkki:

      Näyttökuva verkkoliikenteen analysoimisesta tcpdump-kohteen kautta.

    • Käytä netcat-toimintoa tai vastaavaa komentoa isäntäkoneen verkkoliikenteen analysointiin:

      1. Asenna netcat ja wget.

      2. Lataa mallilokitiedosto Microsoft Defender XDR. Pura lokitiedosto tarvittaessa.

        1. Valitse Microsoft Defender XDR kohdassa PilvisovelluksetPilvietsintätoiminnot>>Luo pilvietsintätilannevedosraportti.

        2. Valitse tietolähde , josta haluat ladata lokitiedostot.

        3. Valitse Näytä ja vahvista napsauttamalla hiiren kakkospainikkeella Lataa malliloki ja kopioi URL-osoitteen linkki.

        4. Valitse Sulje>Peruuta.

      3. Juosta:

        wget <URL_address_to_sample_log>

      4. Suorita netcat , jotta tiedot voidaan suoratoistaa lokikeräystoimintoon.

        cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>

      Jos keräilijä on määritetty oikein, lokitiedot ovat viestitiedostossa ja pian sen jälkeen ne ladataan Defender for Cloud Apps portaaliin.

    • Tarkista oleelliset tiedostot Defender for Cloud Apps Docker-säilössä:

      1. Kirjaudu sisään säilöön. Juosta:

        docker exec -it <Container Name> bash

      2. Selvitä, kirjoitetaanko Syslog-viestejä viestitiedostoon. Juosta:

        cat /var/adallom/syslog/<your_log_collector_port>/messages

      Jos kaikki on määritetty oikein, sinun pitäisi nähdä laitteiden verkkoliikenne. Esimerkki:

      Näyttökuva liikenteen analysoimisesta kissakomennon avulla.

      Huomautus

      Tätä tiedostoa kirjoitetaan kohteeseen 40 kilotavuun asti. Esimerkki:

  3. Tarkista lokit, jotka on ladattu Defender for Cloud Apps hakemistossa/var/adallom/discoverylogsbackup. Esimerkki:

    Tarkastele ladattuja lokitiedostoja.

  4. Vahvista lokinkerääjän vastaanottama lokimuoto vertaamalla viestejä, jotka on tallennettu Defender for Cloud Apps Luo lokinkerääjä -toiminnon määrittämään /var/adallom/discoverylogsbackup mallilokimuotoon.

Viestitiedoston tulosteen kirjoittaminen paikalliseen tiedostoon

Jos haluat käyttää omaa mallilokiasi, mutta sinulla ei ole käyttöoikeutta laitteeseen, kirjoita lokinkeräimen syslog-hakemistossa olevan viestitiedoston tulos isännän paikalliseen tiedostoon seuraavilla komennoilla:

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Vertaa tulostiedostoa (/tmp/log.log) hakemistoon tallennettuihin /var/adallom/discoverylogsbackup viesteihin.

Lokinkeräysversion päivittäminen

Lokinkeräintä päivitettäessä:

  • Varmista ennen uuden version asentamista, että pysäytät lokinkeruutyökalun ja poistat nykyisen kuvan.
  • Päivitä varmennetiedostot, kun olet asentanut uuden version.

Seuraavat vaiheet

Ota pilvipalvelun etsintä käyttöön

Käyttäjän toimintakäytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.