Podman を使用した自動ログ アップロードを構成する
Note
Microsoft Defender for Cloud Apps は Microsoft Defender XDR の一部になりました。これにより、Microsoft Defender スイート全体からのシグナルが関連付けられ、インシデント レベルでの検出、調査、強力な対応機能が提供されます。 詳細については、「Microsoft Defender XDR の Microsoft Defender for Cloud Apps」を参照してください。
この記事では、オンプレミス サーバーの Linux 上で Podman コンテナーを使用して、Defender for Cloud Apps の継続的レポートの自動ログ アップロードを構成する手順について説明します。 RHEL 7.1 以降を使用しているお客様は、自動ログ収集に Podman を使用する必要があります。
前提条件
開始する前に次の操作を実行してください。
- RHEL 7.1 以降のコンテナーを使用していることを確認します。
- Docker と Podman は同じコンピューター上で共存できないため、Podman を実行する前に必ず Docker インストールをアンインストールしてください。
- Podman をデプロイするためにユーザー
root
として RHEL マシンにサインインしていることを確認します
セットアップと構成
Microsoft Defender XDR にサインインし、[設定] > [クラウド アプリ] > [Cloud Discovery] > [自動ログ アップロード] を選択します。
[データ ソース] タブでデータ ソースが定義されていることを確認します。定義されていない場合は、[データ ソースの追加] を選択して追加します。
[ログ コレクター] タブを選択します。テナントにデプロイされているすべてのログ コレクターが一覧表示されます。
[ログ コレクター の追加] リンクを選択します。 次に、[ログ コレクターの作成] ダイアログで、次のように入力します。
フィールド 内容 名前 ログ コレクターが使用するキー情報 (内部の名前付け標準やサイトの場所など) に基づいて、わかりやすい名前を入力します。 ホスト IP アドレスまたは FQDN ログ コレクターのホスト マシンまたは仮想マシン (VM) の IP アドレスを入力します。 入力した IP アドレス/FQDN に Syslog サービスまたはファイアウォールがアクセスできることを確認します。 データ ソース 使用するデータ ソースを選択します。 複数のデータ ソースを使用している場合は、ログ コレクターが一貫してデータを送信し続けることができるように、選択したソースが別のポートに適用されます。
たとえば、次の一覧は、データ ソースとポートの組み合わせの例を示しています。
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603[作成] を選択すると、お客様固有の状況に合った詳細な手順が画面に表示されます。
表示されたコマンドをコピーし、必要であれば、使用しているコンテナー サービスに基づいて変更します。 次に例を示します。
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
変更したコマンドをマシン上で実行し、コンテナーをデプロイします。 正常に完了すると、ログには、mcr.microsoft.com からイメージをプルし、コンテナーの BLOB の作成を続行することが示されます。
コンテナーが完全にデプロイされたら、コンテナー化サービスでチェックして動作していることを確認します。
podman ps
Note
ホスト サーバーの再起動時に Podman コンテナーが自動的に起動することはありません。 Podman ホスト マシンを再起動するには、コンテナーも再起動する必要があります。
トラブルシューティング
Podman コンテナーからファイアウォール ログが取得されない場合は、以下を確認します。
rsyslog がログ コレクターでローテーションされていることを確認します。
変更を加えた場合は、数時間待ってから次のコマンドを実行し、何か変更されたかどうかを確認します。
podman logs <container name>
ここで
<container name>
は、使用しているコンテナーです。ログがまだ送信されない場合は、
--privileged
フラグを使用して、コンテナーがデプロイされていることを確認します。--privileged
フラグを使用してコンテナーをデプロイしなかった場合、コンテナーは、アップロードされたファイルをホスト マシンに収集しません。
関連するコンテンツ
詳細については、「継続的なレポートのために自動ログ アップロードを構成する」をご覧ください。