Udostępnij za pośrednictwem

Konfigurowanie automatycznego przekazywania dzienników przy użyciu platformy Docker w Azure Kubernetes Service (AKS)

  • Artykuł

W tym artykule opisano sposób konfigurowania automatycznego przekazywania dzienników dla raportów ciągłych w Defender for Cloud Apps przy użyciu kontenera platformy Docker w usłudze Azure Kubernetes Service (AKS).

Uwaga

Microsoft Defender for Cloud Apps jest teraz częścią Microsoft Defender XDR, która koreluje sygnały z całego pakietu Microsoft Defender i zapewnia funkcje wykrywania, badania i zaawansowanego reagowania na zdarzenia na poziomie zdarzenia. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Cloud Apps w Microsoft Defender XDR.

Instalacja i konfiguracja

  1. Zaloguj się do Microsoft Defender XDR i wybierz pozycję Ustawienia > Cloud Apps > Cloud Discovery > Automatyczne przekazywanie dziennika.

  2. Upewnij się, że na karcie Źródła danych zdefiniowano źródło danych. Jeśli tego nie zrobisz, wybierz pozycję Dodaj źródło danych , aby je dodać.

  3. Wybierz kartę Moduły zbierające dzienniki , która zawiera listę wszystkich modułów zbierających dzienniki wdrożonych w dzierżawie.

  4. Wybierz link Dodaj moduł zbierający dzienniki . Następnie w oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź:

    Pole Opis
    Nazwa Wprowadź znaczącą nazwę na podstawie kluczowych informacji używanych przez moduł zbierający dzienniki, takich jak wewnętrzny standard nazewnictwa lub lokalizacja lokacji.
    Adres IP hosta lub nazwa FQDN Wprowadź adres IP maszyny hosta lub maszyny wirtualnej modułu zbierającego dzienniki. Upewnij się, że usługa dziennika systemowego lub zapora mogą uzyskiwać dostęp do wprowadzonego adresu IP/nazwy FQDN.
    Źródła danych Wybierz źródło danych, którego chcesz użyć. Jeśli używasz wielu źródeł danych, wybrane źródło jest stosowane do oddzielnego portu, aby moduł zbierający dzienniki mógł stale wysyłać dane.

    Na przykład na poniższej liście przedstawiono przykłady kombinacji źródeł danych i portów:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Wybierz pozycję Utwórz , aby wyświetlić na ekranie dalsze instrukcje dotyczące konkretnej sytuacji.

  6. Przejdź do konfiguracji klastra usługi AKS i uruchom polecenie:

    kubectl config use-context <name of AKS cluster>

  7. Uruchom polecenie helm przy użyciu następującej składni:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Znajdź wartości polecenia helm przy użyciu polecenia docker używanego podczas konfigurowania modułu zbierającego. Przykład:

    (echo <Generated ID>) | docker run --name SyslogTLStest

Po pomyślnym zakończeniu dzienniki pokazują ściąganie obrazu z mcr.microsoft.com i kontynuowanie tworzenia obiektów blob dla kontenera.

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych.