継続的レポートのために自動ログ アップロードを構成する
ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化できます。 ログ コレクターはネットワーク上で実行され、Syslog または FTP を使用してログを受信します。 各ログは自動的に処理、圧縮され、ポータルに送信されます。 ファイルがログ コレクターへの FTP 転送を完了した後、FTP ログは Microsoft Defender for Cloud Apps にアップロードされます。 Syslog の場合、ログ コレクターは受信したログをディスクに書き込みます。 次に、ファイル サイズが 40 KB を超えると、コレクターはファイルを Defender for Cloud Apps にアップロードします。
ログは、Defender for Cloud Apps にアップロードされた後、バックアップ ディレクトリに移動されます。 バックアップ ディレクトリには、最新の 20 のログが保存されます。 新しいログを受信すると、古いログは削除されます。 ログ コレクターのディスク領域がいっぱいになった場合、ログ コレクターは、十分な空きディスク領域を確保できるまで新しいログを削除し続けます (前提条件が適切に満たされている場合は、このようにはなりません)。 これが発生すると、[ログを自動的にアップロード] 設定の [ログ コレクター] タブに警告が表示されます。
自動ログ ファイル収集を設定する前に、ログが予想されるログの種類と一致することを確認します。 Defender for Cloud Apps が特定のファイルを解析できることを確認したいと考えています。 詳細については、「クラウド ディスカバリーのトラフィック ログの使用」を参照してください。
Note
- Defender for Cloud Apps では、ログが元の形式で転送されることを前提とし、お使いの SIEM サーバーからログ コレクターにログを転送することをサポートしています。 ただし、ログ コレクターをファイアウォールやプロキシに直接統合することを強くお勧めします。
- データはアップロードされる前に、ログ コレクターによって圧縮されます。 ログ コレクターの送信トラフィックは、受信するトラフィック ログのサイズの 10% になります。
- ログ コレクターに問題が発生した場合、データが 48 時間受信されなかった後にアラートを受け取ります。
前提条件
- ディスク領域 250 GB
- CPU コア数: 2
- CPU アーキテクチャ: Intel® 64 および AMD 64
- RAM: 4 GB
- ネットワーク要件で説明されているとおりにファイアウォールを設定する
Note
既存のログ コレクターがあり、再度デプロイする前に削除する場合、または単に削除する場合は、次のコマンドを実行します。
docker stop <collector_name>
docker rm <collector_name>
Note
新しいログ コレクター バージョンをインストールするには、ログ コレクターを停止し、現在のイメージを削除して、新しいイメージをインストールする必要があります。
ログ コレクターのパフォーマンス
ログ コレクターは、1 時間あたり最大 50 GB の容量のログを処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。
- ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。
- 仮想マシンの I/O パフォーマンス - ログがログ コレクターのディスクに書き込まれる速度を決定します。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 1 時間あたり 50 GB を超えるのが普通である場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。
関連するコンテンツ
ログ コレクターは、コンテナー展開モードをサポートしています。 詳細については、以下を参照してください:
- Windows でオンプレミス Docker を使用して自動ログ アップロードを構成する
- Podman を使用した自動ログ アップロードを構成する
- Azure での Docker を使用した自動ログ アップロードを構成する
- Azure Kubernetes Service (AKS) で Docker を使用して自動ログ アップロードを構成する (プレビュー)