Konfigurer automatisk opplasting av logg ved hjelp av Docker på Azure Kubernetes Service (AKS)
Denne artikkelen beskriver hvordan du konfigurerer automatisk loggopplasting for kontinuerlige rapporter i Defender for Cloud Apps ved hjelp av en Docker-beholder på Azure Kubernetes Service (AKS).
Obs!
Microsoft Defender for Cloud Apps er nå en del av Microsoft Defender XDR, som korrelerer signaler fra hele Microsoft Defender suite og gir hendelsesnivå deteksjon, undersøkelse og kraftige responsfunksjoner. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Cloud Apps i Microsoft Defender XDR.
Installasjon og konfigurasjon
Logg deg på Microsoft Defender XDR, og velg Innstillinger > Cloud Apps > Cloud Discovery > Automatisk loggopplasting.
Kontroller at du har en datakilde definert på datakilder-fanen . Hvis du ikke gjør det, velger du Legg til en datakilde for å legge til en.
Velg Logg samlere-fanen , som viser alle loggsamlere som er distribuert på leieren din.
Velg koblingen Legg til logginnsamling . Skriv deretter inn følgende i dialogboksen Opprett logginnsamling :
Felt Beskrivelse Navn Skriv inn et beskrivende navn basert på viktig informasjon som loggsamleren bruker, for eksempel intern navnestandard eller en områdeplassering. IP-adresse for vert eller FQDN Skriv inn loggsamlerens vertsmaskin eller IP-adresse for virtuell maskin (VM). Kontroller at syslog-tjenesten eller brannmuren har tilgang til IP-adressen / FQDN-en du angir. Datakilde(er) Velg datakilden du vil bruke. Hvis du bruker flere datakilder, brukes den valgte kilden på en separat port, slik at logginnsamlingen kan fortsette å sende data konsekvent.
Listen nedenfor viser for eksempel eksempler på datakilde- og portkombinasjoner:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Velg Opprett for å vise ytterligere instruksjoner på skjermen for din spesifikke situasjon.
Gå til AKS-klyngekonfigurasjonen og kjør:
kubectl config use-context <name of AKS cluster>
Kjør kommandoen for ror ved hjelp av følgende syntaks:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
Finn verdiene for rorkommandoen ved hjelp av docker-kommandoen som brukes når samleren er konfigurert. Eksempel:
(echo <Generated ID>) | docker run --name SyslogTLStest
Loggene viser at du drar et bilde fra mcr.microsoft.com og fortsetter å opprette blober for beholderen.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se Konfigurere automatisk loggopplasting for kontinuerlige rapporter.