Configurar o upload automático de log para relatórios contínuos
Os coletores de log permitem automatizar facilmente o upload de log da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP. Cada log é processado, compactado e transmitido automaticamente para o portal. Os logs de FTP são carregados no Microsoft Defender para Aplicativos na Nuvem depois que o arquivo concluiu a transferência de FTP para o Coletor de Logs. Para o Syslog, o Coletor de Logs grava os logs recebidos no disco. Em seguida, o coletor carrega o arquivo no Defender para Aplicativos na Nuvem quando o tamanho do arquivo é maior que 40 KB.
Depois que um log é carregado, o Defender para Aplicativos na Nuvem move o log para um diretório de backup. O diretório de backup armazena os últimos 20 logs. Quando novos logs chegam, os antigos são excluídos. Sempre que o espaço em disco do recoletor de registos estiver cheio, o recoletor de registos remove novos registos até ter mais espaço livre em disco (tal não deverá acontecer se os pré-requisitos forem cumpridos corretamente). Receberá um aviso no separador Recoletores de registos das definições Carregar registos automaticamente quando isto acontece.
Antes de configurar a coleta automática de arquivos de log, verifique se o log corresponde ao tipo de log esperado. Você deseja garantir que o Defender para Aplicativos na Nuvem possa analisar seu arquivo específico. Para obter mais informações, veja Utilizar registos de tráfego para a deteção da cloud.
Observação
- Defender para Aplicativos de Nuvem fornece suporte para reencaminhar registos do servidor SIEM para o Recoletor de Registos, partindo do princípio de que os registos estão a ser reencaminhados no formato original. No entanto, recomenda-se vivamente que integre o recoletor de registos diretamente na firewall e/ou no proxy.
- O recoletor de registos comprime os dados antes de serem carregados. O tráfego de saída no coletor de logs será de 10% do tamanho dos logs de tráfego recebidos.
- Se o recoletor de registos encontrar problemas, receberá um alerta depois de os dados não terem sido recebidos durante 48 horas.
Pré-requisitos
- Espaço em disco de 250 GB
- Núcleos de CPU: 2
- Arquitetura da CPU: Intel® 64 e AMD 64
- RAM: 4 GB
- Defina a firewall conforme descrito em Requisitos de rede
Observação
Se tiver um recoletor de registos existente e quiser removê-lo antes de o implementar novamente ou se pretender simplesmente removê-lo, execute os seguintes comandos:
docker stop <collector_name>
docker rm <collector_name>
Observação
Para instalar uma nova versão do recoletor de registos, terá de parar o recoletor de registos, remover a imagem atual e instalar a nova.
Desempenho do recoletor de registos
O Recoletor de registos pode processar com êxito a capacidade de registo até 50 GB por hora. Os estrangulamentos main no processo de recolha de registos são:
- Largura de banda de rede – a largura de banda de rede determina a velocidade de carregamento do registo.
- Desempenho de E/S da máquina virtual – determina a velocidade a que os registos são escritos no disco do recoletor de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a velocidade a que os registos chegam e compara-o com a taxa de carregamento. Em caso de congestionamento, o recoletor de registos começa a remover ficheiros de registo. Se a configuração exceder normalmente os 50 GB por hora, recomenda-se que divida o tráfego entre vários recoletores de registos.
Conteúdo relacionado
O Recoletor de Registos suporta o modo de implementação contentor . Para saber mais, confira:
- Configurar o carregamento automático de registos com o Docker no local no Windows
- Configurar o carregamento automático de registos com o Podman
- Configurar o carregamento automático de registos com o Docker no Azure
- Configurar o carregamento automático de registos com o Docker no Serviço de Kubernetes do Azure (AKS)