次の方法で共有

Podman を使用して自動ログ アップロードを構成する

  • [アーティクル]

注:

Microsoft Defender for Cloud AppsはMicrosoft Defender XDRの一部になりました。これは、Microsoft Defender スイート全体からの信号を関連付け、インシデント レベルの検出、調査、強力な応答機能を提供します。 詳細については、「Microsoft Defender XDRのMicrosoft Defender for Cloud Apps」を参照してください。

この記事では、オンプレミス サーバーの Linux 上の Podman コンテナーを使用して、Defender for Cloud Appsの継続的なレポートの自動ログ アップロードを構成する方法について説明します。 RHEL 7.1 以降を使用しているお客様は、自動ログ収集に Podman を使用する必要があります。

前提条件

はじめに:

  • RHEL 7.1 以降のコンテナーを使用していることを確認します。
  • Docker と Podman は同じコンピューター上で共存できないため、Podman を実行する前に Docker インストールをアンインストールしてください。
  • Podman をデプロイするためのユーザー root として RHEL マシンにサインインしていることを確認します

セットアップと構成

  1. Microsoft Defender XDRにサインインし、[設定] > [Cloud Apps > Cloud Discovery >自動ログ アップロード] を選択します。

  2. [データ ソース] タブでデータ ソース が定義されていることを確認します。そうでない場合は、[ データ ソースの追加] を選択して追加します。

  3. [ ログ コレクター ] タブを選択します。テナントにデプロイされたすべてのログ コレクターが一覧表示されます。

  4. [ ログ コレクターの追加] リンクを選択します。 次に、[ ログ コレクターの作成 ] ダイアログで、次のように入力します。

    フィールド 説明
    名前 内部の名前付け標準やサイトの場所など、ログ コレクターが使用するキー情報に基づいてわかりやすい名前を入力します。
    ホスト IP アドレスまたは FQDN ログ コレクターのホスト マシンまたは仮想マシン (VM) IP アドレスを入力します。 入力した IP アドレス/FQDN に Syslog サービスまたはファイアウォールがアクセスできることを確認します。
    データ ソース 使用するデータ ソースを選択します。 複数のデータ ソースを使用している場合は、選択したソースが別のポートに適用され、ログ コレクターがデータを一貫して送信し続けることができます。

    たとえば、次の一覧は、データ ソースとポートの組み合わせの例を示しています。
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. [ 作成] を 選択すると、特定の状況の詳細な手順が画面に表示されます。

  6. 表示されたコマンドをコピーし、使用しているコンテナー サービスに基づいて必要に応じて変更します。 以下に例を示します。

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. コンピューターで変更したコマンドを実行して、コンテナーをデプロイします。 成功すると、ログには、mcr.microsoft.com からイメージをプルし、コンテナーの BLOB の作成を続行することが示されます。

  8. コンテナーが完全にデプロイされたら、コンテナー化サービスで確認して、コンテナーが動作していることを確認します。

    podman ps

注:

ホスト サーバーが再起動されると、Podman コンテナーは自動的に起動しません。 Podman ホスト マシンを再起動するには、コンテナーも再起動する必要があります。

トラブルシューティング

Podman コンテナーからファイアウォール ログを取得していない場合は、次をチェックします。

  1. ログ コレクターで rsyslog がローテーションされていることを確認します。

  2. 変更を加えた場合は、数時間待ってから次のコマンドを実行して、何か変更されたかどうかを確認します。

    podman logs <container name>

    ここで <container name> は、使用しているコンテナーの名前です。

  3. ログがまだ送信されない場合は、コンテナーが --privileged フラグを使用してデプロイされていることを確認します。 --privileged フラグを持つコンテナーをデプロイしていない場合、コンテナーはアップロードされたファイルをホスト コンピューターに収集しません。

関連コンテンツ

詳細については、「 継続的レポートの自動ログ アップロードを構成する」を参照してください。