Udostępnij za pośrednictwem

Konfigurowanie automatycznego przekazywania dzienników przy użyciu narzędzia Podman

  • Artykuł

Uwaga

Microsoft Defender for Cloud Apps jest teraz częścią Microsoft Defender XDR, która koreluje sygnały z całego pakietu Microsoft Defender i zapewnia funkcje wykrywania, badania i zaawansowanego reagowania na zdarzenia na poziomie zdarzenia. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Cloud Apps w Microsoft Defender XDR.

W tym artykule opisano sposób konfigurowania automatycznego przekazywania dzienników dla raportów ciągłych w Defender for Cloud Apps przy użyciu kontenera Podman w systemie Linux na serwerze lokalnym. Klienci korzystający z systemu RHEL 7.1 lub nowszego muszą używać narzędzia Podman do automatycznego zbierania dzienników.

Wymagania wstępne

Przed rozpoczęciem:

  • Upewnij się, że używasz kontenera z systemem RHEL 7.1 lub nowszym.
  • Ponieważ platforma Docker i podman nie mogą współistnieć na tej samej maszynie, przed uruchomieniem narzędzia Podman należy odinstalować wszystkie instalacje platformy Docker.
  • Upewnij się, że zalogowano się do maszyny RHEL jako użytkownik root w celu wdrożenia narzędzia Podman

Instalacja i konfiguracja

  1. Zaloguj się do Microsoft Defender XDR i wybierz pozycję Ustawienia > Cloud Apps > Cloud Discovery > Automatyczne przekazywanie dziennika.

  2. Upewnij się, że na karcie Źródła danych zdefiniowano źródło danych. Jeśli tego nie zrobisz, wybierz pozycję Dodaj źródło danych , aby je dodać.

  3. Wybierz kartę Moduły zbierające dzienniki , która zawiera listę wszystkich modułów zbierających dzienniki wdrożonych w dzierżawie.

  4. Wybierz link Dodaj moduł zbierający dzienniki . Następnie w oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź:

    Pole Opis
    Nazwa Wprowadź znaczącą nazwę na podstawie kluczowych informacji używanych przez moduł zbierający dzienniki, takich jak wewnętrzny standard nazewnictwa lub lokalizacja lokacji.
    Adres IP hosta lub nazwa FQDN Wprowadź adres IP maszyny hosta lub maszyny wirtualnej modułu zbierającego dzienniki. Upewnij się, że usługa dziennika systemowego lub zapora mogą uzyskiwać dostęp do wprowadzonego adresu IP/nazwy FQDN.
    Źródła danych Wybierz źródło danych, którego chcesz użyć. Jeśli używasz wielu źródeł danych, wybrane źródło jest stosowane do oddzielnego portu, aby moduł zbierający dzienniki mógł stale wysyłać dane.

    Na przykład na poniższej liście przedstawiono przykłady kombinacji źródeł danych i portów:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Wybierz pozycję Utwórz , aby wyświetlić na ekranie dalsze instrukcje dotyczące konkretnej sytuacji.

  6. Skopiuj wyświetlone polecenie i zmodyfikuj je zgodnie z potrzebami na podstawie używanej usługi kontenera. Przykład:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Uruchom zmodyfikowane polecenie na maszynie, aby wdrożyć kontener. Po pomyślnym zakończeniu dzienniki pokazują ściąganie obrazu z mcr.microsoft.com i kontynuowanie tworzenia obiektów blob dla kontenera.

  8. Po pełnym wdrożeniu kontenera sprawdź, czy działa, sprawdzając usługę konteneryzacji:

    podman ps

Uwaga

Kontenery podman nie są uruchamiane automatycznie po ponownym uruchomieniu serwera hosta. Ponowne uruchomienie maszyny hosta Podman wymaga ponownego uruchomienia kontenera.

Rozwiązywanie problemów

Jeśli nie otrzymujesz dzienników zapory z kontenera podman, sprawdź następujące kwestie:

  1. Upewnij się, że dziennik rsyslog obraca się w module zbierającym dzienniki.

  2. Jeśli wprowadzono zmiany, poczekaj kilka godzin i uruchom następujące polecenie, aby sprawdzić, czy coś się zmieniło:

    podman logs <container name>

    where <container name> to nazwa używanego kontenera.

  3. Jeśli dzienniki nadal nie są wysyłane, upewnij się, że kontener został wdrożony --privileged przy użyciu flagi . Jeśli kontener nie został wdrożony z flagą --privileged , kontener nie zbierze przekazanych plików na maszynę hosta.

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych.