Partager via


Configurer le chargement automatique des journaux pour les rapports continus

Les collecteurs de journaux vous permettent d’automatiser facilement le chargement des journaux à partir de votre réseau. Le collecteur de journaux fonctionne sur votre réseau et reçoit les journaux par Syslog ou FTP. Chaque journal est automatiquement traité, compressé et transmis au portail. Les journaux FTP sont chargés dans Microsoft Defender pour les applications cloud une fois le fichier terminé le transfert FTP vers le collecteur de journaux. Pour Syslog, le collecteur de journaux écrit les journaux reçus sur le disque. Le collecteur charge ensuite le fichier dans Defender for Cloud Apps lorsque la taille du fichier est supérieure à 40 Ko.

Une fois qu’un journal est chargé dans Defender pour Cloud Apps, il est déplacé vers un répertoire de sauvegarde. Le répertoire de sauvegarde stocke les 20 derniers journaux. Lorsque de nouveaux journaux arrivent, les anciens journaux sont supprimés. Chaque fois que l’espace disque du collecteur de journaux est plein, le collecteur de journaux supprime les nouveaux journaux jusqu’à ce qu’il dispose de plus d’espace disque libre (cela ne devrait pas se produire si les conditions préalables sont correctement remplies). Vous recevrez un avertissement sous l’onglet Collecteurs de journaux des paramètres Charger automatiquement les journaux lorsque cela se produit.

Avant de configurer la collecte automatique des fichiers journaux, vérifiez que votre journal correspond au type de journal attendu. Vous souhaitez vous assurer que Defender pour Cloud Apps peut analyser votre fichier spécifique. Pour plus d’informations, consultez Utilisation des journaux de trafic pour la découverte du cloud.

Remarque

  • Defender for Cloud Apps prend en charge le transfert des journaux de votre serveur SIEM vers le collecteur de journaux en supposant que les journaux sont transférés dans leur format d’origine. Toutefois, il est vivement recommandé d’intégrer le collecteur de journaux directement à votre pare-feu et/ou proxy.
  • Le collecteur de journaux compresse les données avant leur chargement. Le trafic sortant sur le collecteur de journaux sera de 10 % de la taille des journaux de trafic qu’il reçoit.
  • Si le collecteur de journaux rencontre des problèmes, vous recevrez une alerte après que les données n’ont pas été reçues pendant 48 heures.

Configuration requise

  • Espace disque 250 Go
  • Cœurs de processeur : 2
  • Architecture du processeur : Intel® 64 et AMD 64
  • RAM : 4 Go
  • Définir votre pare-feu comme décrit dans Configuration réseau requise

Remarque

Si vous disposez d’un collecteur de journaux existant et que vous souhaitez le supprimer avant de le déployer à nouveau, ou si vous souhaitez simplement le supprimer, exécutez les commandes suivantes :

docker stop <collector_name>

docker rm <collector_name>

Remarque

Pour installer une nouvelle version du collecteur de journaux, vous devez arrêter votre collecteur de journaux, supprimer l’image actuelle et installer la nouvelle.

Performances du collecteur de journaux

Le collecteur de journaux peut gérer avec succès une capacité de journal allant jusqu’à 50 Go par heure. Les goulots d’étranglement main dans le processus de collecte des journaux sont les suivants :

  • Bande passante réseau : votre bande passante réseau détermine la vitesse de chargement du journal.
  • Performances d’E/S de la machine virtuelle : détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille la vitesse d’arrivée des journaux et la compare au taux de chargement. En cas de congestion, le collecteur de journaux commence à supprimer les fichiers journaux. Si votre configuration dépasse généralement 50 Go par heure, il est recommandé de fractionner le trafic entre plusieurs collecteurs de journaux.

Le collecteur de journaux prend en charge le mode de déploiement de conteneur . Pour plus d’informations, reportez-vous aux rubriques suivantes :

Étapes suivantes