Udostępnij za pośrednictwem

Konfigurowanie automatycznego przekazywania dziennika dla raportów ciągłych

  • Artykuł

Moduły zbierające dzienniki umożliwiają łatwe automatyzowanie przekazywania dzienników z sieci. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP. Każdy dziennik jest automatycznie przetwarzany, kompresowany i przesyłany do portalu. Dzienniki FTP są przekazywane do Microsoft Defender for Cloud Apps po zakończeniu transferu FTP do modułu zbierającego dzienniki. W przypadku dziennika systemowego moduł zbierający dzienniki zapisuje odebrane dzienniki na dysku. Następnie moduł zbierający przekazuje plik do Defender for Cloud Apps, gdy rozmiar pliku jest większy niż 40 KB.

Po przekazaniu dziennika do Defender for Cloud Apps zostanie on przeniesiony do katalogu kopii zapasowych. Katalog kopii zapasowych przechowuje 20 ostatnich dzienników. Po nadejściu nowych dzienników stare są usuwane. Za każdym razem, gdy miejsce na dysku modułu zbierającego dzienniki jest pełne, moduł zbierający dzienniki porzuca nowe dzienniki, dopóki nie ma więcej wolnego miejsca na dysku (nie powinno się to zdarzyć, jeśli wymagania wstępne są prawidłowo spełnione). W takim przypadku zostanie wyświetlone ostrzeżenie na karcie Moduły zbierające dzienniki w ustawieniach automatycznego przekazywania dzienników .

Przed skonfigurowaniem automatycznego zbierania plików dziennika sprawdź, czy dziennik jest zgodny z oczekiwanym typem dziennika. Chcesz się upewnić, że Defender for Cloud Apps może przeanalizować określony plik. Aby uzyskać więcej informacji, zobacz Używanie dzienników ruchu na potrzeby odnajdywania w chmurze.

Uwaga

  • Defender for Cloud Apps zapewnia obsługę przekazywania dzienników z serwera SIEM do modułu zbierającego dzienniki przy założeniu, że dzienniki są przekazywane w oryginalnym formacie. Jednak zdecydowanie zaleca się zintegrowanie modułu zbierającego dzienniki bezpośrednio z zaporą i/lub serwerem proxy.
  • Moduł zbierający dzienniki kompresuje dane przed ich przekazaniem. Ruch wychodzący w zbieraczu dzienników będzie miał 10% rozmiaru otrzymywanych dzienników ruchu.
  • Jeśli moduł zbierający dzienniki napotka problemy, otrzymasz alert po tym, jak dane nie zostały odebrane przez 48 godzin.

Wymagania wstępne

  • Miejsce na dysku 250 GB
  • Rdzenie procesora CPU: 2
  • Architektura procesora CPU: Intel® 64 i AMD 64
  • RAM: 4 GB
  • Ustawianie zapory zgodnie z opisem w temacie Wymagania dotyczące sieci

Uwaga

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>

docker rm <collector_name>

Uwaga

Aby zainstalować nową wersję modułu zbierającego dzienniki, należy zatrzymać moduł zbierający dzienniki, usunąć bieżący obraz i zainstalować nowy.

Wydajność modułu zbierającego dzienniki

Moduł zbierający dzienniki może pomyślnie obsługiwać pojemność dziennika do 50 GB na godzinę. Główne wąskie gardła w procesie zbierania dzienników to:

  • Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.
  • Wydajność we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. Moduł zbierający dzienniki ma wbudowany mechanizm bezpieczeństwa, który monitoruje szybkość docierania dzienników i porównuje go z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna usuwać pliki dziennika. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zaleca się podzielenie ruchu między wiele modułów zbierających dzienniki.

Zawartość pokrewna

Moduł zbierający dzienniki obsługuje tryb wdrażania kontenera . Więcej informacji można znaleźć w następujących artykułach:

Następne kroki

Praca z danymi odnajdywania w chmurze