Del via

Konfigurer automatisk opplasting av logg ved hjelp av Podman

  • Artikkel

Obs!

Microsoft Defender for Cloud Apps er nå en del av Microsoft Defender XDR, som korrelerer signaler fra hele Microsoft Defender suite og gir hendelsesnivå deteksjon, undersøkelse og kraftige responsfunksjoner. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Cloud Apps i Microsoft Defender XDR.

Denne artikkelen beskriver hvordan du konfigurerer automatisk loggopplasting for kontinuerlige rapporter i Defender for Cloud Apps ved hjelp av en Podman-beholder på Linux på en lokal server. Kunder som bruker RHEL 7.1 eller nyere, må bruke Podman for automatisk logginnsamling.

Forutsetninger

Før du begynner:

  • Kontroller at du bruker en beholder med RHEL 7.1 og nyere.
  • Siden Docker og Podman ikke kan eksistere sammen på samme maskin, må du avinstallere Docker-installasjoner før du kjører Podman.
  • Kontroller at du er logget på RHEL-maskinen som bruker root for å distribuere Podman

Installasjon og konfigurasjon

  1. Logg deg på Microsoft Defender XDR, og velg Innstillinger > Cloud Apps > Cloud Discovery > Automatisk loggopplasting.

  2. Kontroller at du har en datakilde definert på datakilder-fanen . Hvis du ikke gjør det, velger du Legg til en datakilde for å legge til en.

  3. Velg Logg samlere-fanen , som viser alle loggsamlere som er distribuert på leieren din.

  4. Velg koblingen Legg til logginnsamling . Skriv deretter inn følgende i dialogboksen Opprett logginnsamling :

    Felt Beskrivelse
    Navn Skriv inn et beskrivende navn basert på viktig informasjon som loggsamleren bruker, for eksempel intern navnestandard eller en områdeplassering.
    IP-adresse for vert eller FQDN Skriv inn loggsamlerens vertsmaskin eller IP-adresse for virtuell maskin (VM). Kontroller at syslog-tjenesten eller brannmuren har tilgang til IP-adressen / FQDN-en du angir.
    Datakilde(er) Velg datakilden du vil bruke. Hvis du bruker flere datakilder, brukes den valgte kilden på en separat port, slik at logginnsamlingen kan fortsette å sende data konsekvent.

    Listen nedenfor viser for eksempel eksempler på datakilde- og portkombinasjoner:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Velg Opprett for å vise ytterligere instruksjoner på skjermen for din spesifikke situasjon.

  6. Kopier kommandoen som vises, og endre den etter behov basert på beholdertjenesten du bruker. Eksempel:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Kjør den endrede kommandoen på maskinen for å distribuere beholderen. Loggene viser at du drar et bilde fra mcr.microsoft.com og fortsetter å opprette blober for beholderen.

  8. Når beholderen er fullstendig distribuert, må du kontrollere at den fungerer ved å sjekke med beholdertjenesten:

    podman ps

Obs!

Podman-beholdere starter ikke automatisk når vertsserveren startes på nytt. Omstart av Podman-vertsmaskinen krever at du starter beholderen på nytt også.

Feilsøking

Hvis du ikke får brannmurlogger fra Podman-beholderen, kontrollerer du følgende:

  1. Kontroller at rsyslog roterer på loggsamleren.

  2. Hvis du har gjort endringer, venter du et par timer og kjører følgende kommando for å se om noe er endret:

    podman logs <container name>

    hvor <container name> er navnet på beholderen du bruker.

  3. Hvis loggene fortsatt ikke sendes, må du kontrollere at beholderen er distribuert ved hjelp av --privileged flagget. Hvis du ikke har distribuert beholderen --privileged med flagget, samler ikke beholderen opplastede filer til vertsmaskinen.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se Konfigurere automatisk loggopplasting for kontinuerlige rapporter.