Partilhar via

Configurar o carregamento automático de registos para relatórios contínuos

  • Artigo

Os recoletores de registos permitem-lhe automatizar facilmente o carregamento de registos a partir da sua rede. O recoletor de registos é executado na sua rede e recebe registos através do Syslog ou FTP. Cada registo é automaticamente processado, comprimido e transmitido para o portal. Os registos FTP são carregados para Microsoft Defender for Cloud Apps após o ficheiro terminar a transferência de FTP para o Recoletor de Registos. Para o Syslog, o Recoletor de Registos escreve os registos recebidos no disco. Em seguida, o recoletor carrega o ficheiro para Defender for Cloud Apps quando o tamanho do ficheiro for superior a 40 KB.

Depois de um registo ser carregado para Defender for Cloud Apps, este é movido para um diretório de cópia de segurança. O diretório de cópia de segurança armazena os últimos 20 registos. Quando chegam novos registos, os antigos são eliminados. Sempre que o espaço em disco do recoletor de registos estiver cheio, o recoletor de registos remove novos registos até ter mais espaço livre em disco (tal não deverá acontecer se os pré-requisitos forem cumpridos corretamente). Receberá um aviso no separador Recoletores de registos das definições Carregar registos automaticamente quando isto acontece.

Antes de configurar a recolha automática de ficheiros de registo, verifique se o registo corresponde ao tipo de registo esperado. Quer certificar-se de Defender for Cloud Apps pode analisar o seu ficheiro específico. Para obter mais informações, veja Utilizar registos de tráfego para a deteção da cloud.

Nota

  • Defender for Cloud Apps fornece suporte para reencaminhar registos do servidor SIEM para o Recoletor de Registos, partindo do princípio de que os registos estão a ser reencaminhados no formato original. No entanto, recomenda-se vivamente que integre o recoletor de registos diretamente na firewall e/ou no proxy.
  • O recoletor de registos comprime os dados antes de serem carregados. O tráfego de saída no recoletor de registos terá 10% do tamanho dos registos de tráfego que recebe.
  • Se o recoletor de registos encontrar problemas, receberá um alerta depois de os dados não terem sido recebidos durante 48 horas.

Pré-requisitos

  • Espaço em disco de 250 GB
  • Núcleos de CPU: 2
  • Arquitetura da CPU: Intel® 64 e AMD 64
  • RAM: 4 GB
  • Defina a firewall conforme descrito em Requisitos de rede

Nota

Se tiver um recoletor de registos existente e quiser removê-lo antes de o implementar novamente ou se pretender simplesmente removê-lo, execute os seguintes comandos:

docker stop <collector_name>

docker rm <collector_name>

Nota

Para instalar uma nova versão do recoletor de registos, terá de parar o recoletor de registos, remover a imagem atual e instalar a nova.

Desempenho do recoletor de registos

O Recoletor de registos pode processar com êxito a capacidade de registo até 50 GB por hora. Os principais estrangulamentos no processo de recolha de registos são:

  • Largura de banda de rede – a largura de banda de rede determina a velocidade de carregamento do registo.
  • Desempenho de E/S da máquina virtual – determina a velocidade a que os registos são escritos no disco do recoletor de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a velocidade a que os registos chegam e compara-o com a taxa de carregamento. Em caso de congestionamento, o recoletor de registos começa a remover ficheiros de registo. Se a configuração exceder normalmente os 50 GB por hora, recomenda-se que divida o tráfego entre vários recoletores de registos.

Conteúdos relacionados

O Recoletor de Registos suporta o modo de implementação contentor . Para mais informações, consulte:

Passos seguintes

Trabalhar com dados de deteção da cloud