Condividi tramite

Configurare il caricamento automatico dei log con Podman

  • Articolo

Nota

Microsoft Defender for Cloud Apps fa ora parte di Microsoft Defender XDR, che correla i segnali provenienti da tutta la suite di Microsoft Defender e fornisce funzionalità di rilevamento, analisi e risposta potenti a livello di evento imprevisto. Per altre informazioni, vedere Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

Questo articolo descrive come configurare il caricamento automatico dei log per i report continui in Defender for Cloud Apps usando un contenitore Podman in Linux in un server locale. I clienti che usano RHEL 7.1 o versione successiva devono usare Podman per la raccolta automatica dei log.

Prerequisiti

Prima di iniziare:

  • Assicurarsi di usare un contenitore con RHEL 7.1 e versioni successive.
  • Poiché Docker e Podman non possono coesistere nello stesso computer, assicurarsi di disinstallare eventuali installazioni Docker prima di eseguire Podman.
  • Assicurarsi di aver eseguito l'accesso al computer RHEL come utente root per distribuire Podman

Installazione e configurazione

  1. Accedere Microsoft Defender XDR e selezionare Impostazioni > Cloud Apps Cloud Discovery Automatic log upload (Caricamento automatico del log di Cloud Apps > Cloud Discovery>).

  2. Assicurarsi di avere un'origine dati definita nella scheda Origini dati . In caso contrario, selezionare Aggiungi un'origine dati per aggiungerne una.

  3. Selezionare la scheda Agenti di raccolta log , che elenca tutti gli agenti di raccolta log distribuiti nel tenant.

  4. Selezionare il collegamento Aggiungi agente di raccolta log . Nella finestra di dialogo Crea agente di raccolta log immettere quindi:

    Campo Descrizione
    Nome Immettere un nome significativo, in base alle informazioni chiave usate dall'agente di raccolta log, ad esempio lo standard di denominazione interno o una posizione del sito.
    Indirizzo IP host o FQDN Immettere la macchina host o l'indirizzo IP della macchina virtuale (VM) dell'agente di raccolta log. Assicurarsi che il servizio syslog o il firewall possa accedere all'indirizzo IP o al nome di dominio completo immessi.
    Origini dati Selezionare l'origine dati da usare. Se si usano più origini dati, l'origine selezionata viene applicata a una porta separata in modo che l'agente di raccolta log possa continuare a inviare i dati in modo coerente.

    Ad esempio, l'elenco seguente mostra esempi di combinazioni di origini dati e porte:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Selezionare Crea per visualizzare altre istruzioni sullo schermo per la situazione specifica.

  6. Copiare il comando visualizzato e modificarlo in base alle esigenze in base al servizio contenitore in uso. Ad esempio:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Eseguire il comando modificato nel computer per distribuire il contenitore. In caso di esito positivo, i log mostrano il pull di un'immagine da mcr.microsoft.com e la continuazione della creazione di BLOB per il contenitore.

  8. Quando il contenitore è completamente distribuito, verificare che funzioni controllando con il servizio di containerizzazione:

    podman ps

Nota

I contenitori Podman non vengono avviati automaticamente al riavvio del server host. Per riavviare il computer host Podman è necessario riavviare anche il contenitore.

Risoluzione dei problemi

Se non si ricevono i log del firewall dal contenitore Podman, controllare quanto segue:

  1. Assicurarsi che rsyslog ruota sull'agente di raccolta log.

  2. Se sono state apportate modifiche, attendere un paio d'ore ed eseguire il comando seguente per verificare se sono state apportate modifiche:

    podman logs <container name>

    dove <container name> è il nome del contenitore in uso.

  3. Se i log non vengono ancora inviati, assicurarsi che il contenitore sia distribuito usando il --privileged flag . Se il contenitore non è stato distribuito con il --privileged flag , il contenitore non raccoglierà i file caricati nel computer host.

Contenuto correlato

Per altre informazioni, vedere Configurare il caricamento automatico dei log per i report continui.