次の方法で共有


Podman を使用した自動ログ アップロードを構成する

Note

Microsoft Defender for Cloud Apps は Microsoft Defender XDR の一部になりました。これにより、Microsoft Defender スイート全体からのシグナルが関連付けられ、インシデント レベルでの検出、調査、強力な対応機能が提供されます。 詳細については、「Microsoft Defender XDR の Microsoft Defender for Cloud Apps」を参照してください。

この記事では、オンプレミス サーバーの Linux 上で Podman コンテナーを使用して、Defender for Cloud Apps の継続的レポートの自動ログ アップロードを構成する手順について説明します。 RHEL 7.1 以降を使用しているお客様は、自動ログ収集に Podman を使用する必要があります。

前提条件

開始する前に次の操作を実行してください。

  • RHEL 7.1 以降のコンテナーを使用していることを確認します。
  • Docker と Podman は同じコンピューター上で共存できないため、Podman を実行する前に必ず Docker インストールをアンインストールしてください。
  • Podman をデプロイするためにユーザー root として RHEL マシンにサインインしていることを確認します

設定と構成

  1. Microsoft Defender XDR にサインインし、[設定] > [クラウド アプリ] > [Cloud Discovery] > [自動ログ アップロード] を選択します。

  2. [データ ソース] タブでデータ ソースが定義されていることを確認します。定義されていない場合は、[データ ソースの追加] を選択して追加します。

  3. [ログ コレクター] タブを選択します。テナントにデプロイされているすべてのログ コレクターが一覧表示されます。

  4. [ログ コレクター の追加] リンクを選択します。 次に、[ログ コレクターの作成] ダイアログで、次のように入力します。

    フィールド 内容
    名前 ログ コレクターが使用するキー情報 (内部の名前付け標準やサイトの場所など) に基づいて、わかりやすい名前を入力します。
    ホスト IP アドレスまたは FQDN ログ コレクターのホスト マシンまたは仮想マシン (VM) の IP アドレスを入力します。 入力した IP アドレス/FQDN に Syslog サービスまたはファイアウォールがアクセスできることを確認します。
    データ ソース 使用するデータ ソースを選択します。 複数のデータ ソースを使用している場合は、ログ コレクターが一貫してデータを送信し続けることができるように、選択したソースが別のポートに適用されます。

    たとえば、次の一覧は、データ ソースとポートの組み合わせの例を示しています。
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603
  5. [作成] を選択すると、お客様固有の状況に合った詳細な手順が画面に表示されます。

  6. 表示されたコマンドをコピーし、必要であれば、使用しているコンテナー サービスに基づいて変更します。 次に例を示します。

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
    
  7. 変更したコマンドをマシン上で実行し、コンテナーをデプロイします。 正常に完了すると、ログには、mcr.microsoft.com からイメージをプルし、コンテナーの BLOB の作成を続行することが示されます。

  8. コンテナーが完全にデプロイされたら、コンテナー化サービスでチェックして動作していることを確認します。

    podman ps
    

Note

ホスト サーバーの再起動時に Podman コンテナーが自動的に起動することはありません。 Podman ホスト マシンを再起動するには、コンテナーも再起動する必要があります。

トラブルシューティング

Podman コンテナーからファイアウォール ログが取得されない場合は、以下を確認します。

  1. rsyslog がログ コレクターでローテーションされていることを確認します。

  2. 変更を加えた場合は、数時間待ってから次のコマンドを実行し、何か変更されたかどうかを確認します。

    podman logs <container name>
    

    ここで <container name> は、使用しているコンテナーです。

  3. ログがまだ送信されない場合は、--privileged フラグを使用して、コンテナーがデプロイされていることを確認します。 --privileged フラグを使用してコンテナーをデプロイしなかった場合、コンテナーは、アップロードされたファイルをホスト マシンに収集しません。

詳細については、「継続的なレポートのために自動ログ アップロードを構成する」をご覧ください。