Condividi tramite

Configurare il caricamento automatico dei log per report continui

  • Articolo

Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP. Ogni log viene elaborato, compresso e trasmesso automaticamente al portale. I log FTP vengono caricati in Microsoft Defender for Cloud Apps dopo che il file ha completato il trasferimento FTP all'agente di raccolta log. Per i file SysLog, l'agente di raccolta log scrive i log ricevuti sul disco. L'agente di raccolta log carica quindi il file in Defender for Cloud Apps quando le dimensioni sono superiori a 40 KB.

Dopo il caricamento in Defender for Cloud Apps, il log viene spostato in una directory di backup. La directory di backup archivia gli ultimi 20 log. Quando arrivano nuovi log, i vecchi log vengono eliminati. Ogni volta che lo spazio su disco dell'agente di raccolta log è pieno, l'agente di raccolta log elimina i nuovi log fino a quando non dispone di più spazio disponibile su disco (questo non dovrebbe accadere se i prerequisiti vengono soddisfatti correttamente). Si riceverà un avviso nella scheda Agenti di raccolta log delle impostazioni carica automaticamente i log quando si verifica questo problema.

Prima di configurare la raccolta automatica dei file di log, verificare che il log corrisponda al tipo di log previsto. È consigliabile assicurarsi che Defender for Cloud Apps possa analizzare il file specifico. Per altre informazioni, vedere Uso dei log del traffico per l'individuazione cloud.

Nota

  • Defender for Cloud Apps fornisce il supporto per l'inoltro dei log dal server SIEM all'agente di raccolta log, presupponendo che i log vengano inoltrati nel formato originale. È tuttavia consigliabile integrare l'agente di raccolta log direttamente con il firewall e/o il proxy.
  • L'agente di raccolta log comprime i dati prima del caricamento. Il traffico in uscita nell'agente di raccolta log sarà pari al 10% delle dimensioni dei log del traffico ricevuti.
  • Se l'agente di raccolta log rileva problemi, si riceverà un avviso dopo che i dati non sono stati ricevuti per 48 ore.

Prerequisiti

  • Spazio su disco 250 GB
  • Core CPU: 2
  • Architettura DELLA CPU: Intel® 64 e AMD 64
  • RAM: 4 GB
  • Impostare il firewall come descritto in Requisiti di rete

Nota

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>

docker rm <collector_name>

Nota

Per installare una nuova versione dell'agente di raccolta log, è necessario arrestare l'agente di raccolta log, rimuovere l'immagine corrente e installare quella nuova.

Prestazioni dell'agente di raccolta log

L'agente di raccolta log può gestire correttamente la capacità del log fino a 50 GB all'ora. I colli di bottiglia principali nel processo di raccolta dei log sono:

  • Larghezza di banda di rete: la larghezza di banda di rete determina la velocità di caricamento del log.
  • Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log dispone di un meccanismo di sicurezza predefinito che monitora la frequenza di arrivo dei log e lo confronta con la frequenza di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare i file di log. Se l'installazione supera in genere 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Contenuto correlato

L'agente di raccolta log supporta la modalità di distribuzione contenitore . Per altre informazioni, vedere:

Passaggi successivi

Uso dei dati di cloud discovery