Condividi tramite

Configurare il caricamento automatico dei log con Docker in servizio Azure Kubernetes (servizio Azure Kubernetes)

  • Articolo

Questo articolo descrive come configurare il caricamento automatico dei log per i report continui in Defender for Cloud Apps usando un contenitore Docker in servizio Azure Kubernetes (servizio Azure Kubernetes).

Nota

Microsoft Defender for Cloud Apps fa ora parte di Microsoft Defender XDR, che correla i segnali provenienti da tutta la suite di Microsoft Defender e fornisce funzionalità di rilevamento, analisi e risposta potenti a livello di evento imprevisto. Per altre informazioni, vedere Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

Installazione e configurazione

  1. Accedere Microsoft Defender XDR e selezionare Impostazioni > Cloud Apps Cloud Discovery Automatic log upload (Caricamento automatico del log di Cloud Apps > Cloud Discovery>).

  2. Assicurarsi di avere un'origine dati definita nella scheda Origini dati . In caso contrario, selezionare Aggiungi un'origine dati per aggiungerne una.

  3. Selezionare la scheda Agenti di raccolta log , che elenca tutti gli agenti di raccolta log distribuiti nel tenant.

  4. Selezionare il collegamento Aggiungi agente di raccolta log . Nella finestra di dialogo Crea agente di raccolta log immettere quindi:

    Campo Descrizione
    Nome Immettere un nome significativo, in base alle informazioni chiave usate dall'agente di raccolta log, ad esempio lo standard di denominazione interno o una posizione del sito.
    Indirizzo IP host o FQDN Immettere la macchina host o l'indirizzo IP della macchina virtuale (VM) dell'agente di raccolta log. Assicurarsi che il servizio syslog o il firewall possa accedere all'indirizzo IP o al nome di dominio completo immessi.
    Origini dati Selezionare l'origine dati da usare. Se si usano più origini dati, l'origine selezionata viene applicata a una porta separata in modo che l'agente di raccolta log possa continuare a inviare i dati in modo coerente.

    Ad esempio, l'elenco seguente mostra esempi di combinazioni di origini dati e porte:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Selezionare Crea per visualizzare altre istruzioni sullo schermo per la situazione specifica.

  6. Passare alla configurazione del cluster del servizio Azure Kubernetes ed eseguire:

    kubectl config use-context <name of AKS cluster>

  7. Eseguire il comando helm usando la sintassi seguente:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Trovare i valori per il comando helm usando il comando docker usato quando l'agente di raccolta è configurato. Ad esempio:

    (echo <Generated ID>) | docker run --name SyslogTLStest

In caso di esito positivo, i log mostrano il pull di un'immagine da mcr.microsoft.com e la continuazione della creazione di BLOB per il contenitore.

Contenuto correlato

Per altre informazioni, vedere Configurare il caricamento automatico dei log per i report continui.