Delen via

Automatisch uploaden van logboeken configureren voor doorlopende rapporten

  • Artikel

Met logboekverzamelaars kunt u het uploaden van logboeken vanuit uw netwerk eenvoudig automatiseren. De logboekverzamelaar wordt uitgevoerd op uw netwerk en ontvangt logboeken via Syslog of FTP. Elk logboek wordt automatisch verwerkt, gecomprimeerd en verzonden naar de portal. FTP-logboeken worden geüpload naar Microsoft Defender for Cloud Apps nadat het bestand de FTP-overdracht naar de logboekverzamelaar heeft voltooid. Voor Syslog schrijft de logboekverzamelaar de ontvangen logboeken naar de schijf. Vervolgens uploadt de collector het bestand naar Defender for Cloud Apps wanneer de bestandsgrootte groter is dan 40 kB.

Nadat een logboek is geüpload naar Defender for Cloud Apps, wordt het verplaatst naar een back-upmap. De back-upmap slaat de laatste 20 logboeken op. Wanneer er nieuwe logboeken binnenkomen, worden de oude logboeken verwijderd. Wanneer de schijfruimte van de logboekverzamelaar vol is, verwijdert de logboekverzamelaar nieuwe logboeken totdat er meer vrije schijfruimte is (dit zou niet moeten gebeuren als aan de vereisten wordt voldaan). U ontvangt een waarschuwing op het tabblad Logboekverzamelaars van de instellingen logboeken automatisch uploaden wanneer dit gebeurt.

Voordat u automatische logboekbestandsverzameling instelt, controleert u of het logboek overeenkomt met het verwachte logboektype. U wilt ervoor zorgen dat Defender for Cloud Apps uw specifieke bestand kunt parseren. Zie Verkeerslogboeken gebruiken voor clouddetectie voor meer informatie.

Opmerking

  • Defender for Cloud Apps biedt ondersteuning voor het doorsturen van logboeken van uw SIEM-server naar de logboekverzamelaar, ervan uitgaande dat de logboeken in de oorspronkelijke indeling worden doorgestuurd. Het wordt echter ten zeerste aanbevolen dat u de logboekverzamelaar rechtstreeks integreert met uw firewall en/of proxy.
  • De logboekverzamelaar comprimeert gegevens voordat deze worden geüpload. Het uitgaande verkeer op de logboekverzamelaar is 10% van de grootte van de verkeerslogboeken die het ontvangt.
  • Als de logboekverzamelaar problemen ondervindt, ontvangt u een waarschuwing nadat de gegevens 48 uur lang niet zijn ontvangen.

Vereisten

  • Schijfruimte 250 GB
  • CPU-kernen: 2
  • CPU-architectuur: Intel® 64 en AMD 64
  • RAM: 4 GB
  • Uw firewall instellen zoals beschreven in Netwerkvereisten

Opmerking

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>

docker rm <collector_name>

Opmerking

Als u een nieuwe versie van de logboekverzamelaar wilt installeren, moet u de logboekverzamelaar stoppen, de huidige installatiekopieën verwijderen en de nieuwe installatiekopieën installeren.

Prestaties van logboekverzamelaar

De logboekverzamelaar kan een logboekcapaciteit van maximaal 50 GB per uur verwerken. De belangrijkste knelpunten in het logboekverzamelingsproces zijn:

  • Netwerkbandbreedte: uw netwerkbandbreedte bepaalt de snelheid van het uploaden van logboeken.
  • I/O-prestaties van de virtuele machine: bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd veiligheidsmechanisme dat de snelheid bewaakt waarmee logboeken binnenkomen en deze vergelijkt met de uploadsnelheid. In geval van congestie begint de logboekverzamelaar logboekbestanden te verwijderen. Als uw installatie doorgaans groter is dan 50 GB per uur, wordt u aangeraden het verkeer te splitsen tussen meerdere logboekverzamelaars.

Verwante onderwerpen

De logboekverzamelaar ondersteunt de containerimplementatiemodus. Zie voor meer informatie:

Volgende stappen

Werken met clouddetectiegegevens