Delen via

Automatisch uploaden van logboeken configureren met Podman

  • Artikel

Opmerking

Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft Defender XDR, dat signalen uit de Microsoft Defender suite correleert en detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau biedt. Zie Microsoft Defender for Cloud Apps in Microsoft Defender XDR voor meer informatie.

In dit artikel wordt beschreven hoe u het automatisch uploaden van logboeken configureert voor continue rapporten in Defender for Cloud Apps met behulp van een Podman-container in Linux op een on-premises server. Klanten die RHEL 7.1 of hoger gebruiken, moeten Podman gebruiken voor het automatisch verzamelen van logboeken.

Vereisten

Voordat u begint:

  • Zorg ervoor dat u een container gebruikt met RHEL 7.1 en hoger.
  • Aangezien Docker en Podman niet naast elkaar kunnen bestaan op dezelfde computer, moet u alle Docker-installaties verwijderen voordat u Podman uitvoert.
  • Zorg ervoor dat u bent aangemeld bij de RHEL-machine als gebruiker root om Podman te implementeren

Installatie en configuratie

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen > Cloud Apps > Cloud Discovery > Automatisch uploaden van logboeken.

  2. Zorg ervoor dat u een gegevensbron hebt gedefinieerd op het tabblad Gegevensbronnen . Als u dat niet doet, selecteert u Een gegevensbron toevoegen om er een toe te voegen.

  3. Selecteer het tabblad Logboekverzamelaars , waarin alle logboekverzamelaars worden weergegeven die op uw tenant zijn geïmplementeerd.

  4. Selecteer de koppeling Logboekverzamelaar toevoegen . Voer vervolgens in het dialoogvenster Logboekverzamelaar maken het volgende in:

    Veld Beschrijving
    Naam Voer een betekenisvolle naam in op basis van belangrijke informatie die de logboekverzamelaar gebruikt, zoals uw interne naamgevingsstandaard of een sitelocatie.
    Host-IP-adres of FQDN Voer het IP-adres van de hostmachine van de logboekverzamelaar of het IP-adres van de virtuele machine (VM) in. Zorg ervoor dat uw syslog-service of firewall toegang heeft tot het IP-adres/de FQDN die u invoert.
    Gegevensbron(en) Selecteer de gegevensbron die u wilt gebruiken. Als u meerdere gegevensbronnen gebruikt, wordt de geselecteerde bron toegepast op een afzonderlijke poort, zodat de logboekverzamelaar gegevens consistent kan blijven verzenden.

    In de volgende lijst ziet u bijvoorbeeld voorbeelden van combinaties van gegevensbronnen en poorten:
    - Palo Alto: 601
    - Controlepunt: 602
    - ZScaler: 603

  5. Selecteer Maken om verdere instructies voor uw specifieke situatie op het scherm weer te geven.

  6. Kopieer de weergegeven opdracht en wijzig deze indien nodig op basis van de containerservice die u gebruikt. Bijvoorbeeld:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Voer de gewijzigde opdracht uit op uw computer om de container te implementeren. Wanneer dit is gelukt, wordt in de logboeken weergegeven dat een installatiekopie wordt opgehaald uit mcr.microsoft.com en dat er blobs voor de container worden gemaakt.

  8. Wanneer de container volledig is geïmplementeerd, controleert u of deze werkt door de containerisatieservice te controleren:

    podman ps

Opmerking

Podman-containers worden niet automatisch gestart wanneer de hostserver opnieuw wordt opgestart. Als u de Podman-hostcomputer opnieuw wilt opstarten, moet u de container ook opnieuw starten.

Probleemoplossing

Als u geen firewalllogboeken krijgt van uw Podman-container, controleert u het volgende:

  1. Zorg ervoor dat rsyslog draait op de logboekverzamelaar.

  2. Als u wijzigingen hebt aangebracht, wacht u een paar uur en voert u de volgende opdracht uit om te zien of er iets is gewijzigd:

    podman logs <container name>

    waarbij <container name> de naam is van de container die u gebruikt.

  3. Als de logboeken nog steeds niet worden verzonden, controleert u of de container is geïmplementeerd met behulp van de --privileged vlag. Als u uw container niet hebt geïmplementeerd met de --privileged vlag, verzamelt de container geen geüploade bestanden naar de hostcomputer.

Verwante onderwerpen

Zie Automatisch uploaden van logboeken configureren voor continue rapporten voor meer informatie.