Настройка автоматической отправки журналов для непрерывных отчетов
Сборщики журналов позволяют с легкостью автоматизировать отправку журналов из вашей сети. Сборщик журналов работает в сети и получает журналы через Syslog или FTP. Каждый журнал автоматически обрабатывается, сжимается и передается на портал. Журналы FTP отправляются в Microsoft Defender for Cloud Apps после завершения передачи файла по FTP в сборщик журналов. Для файлов Syslog сборщик журналов записывает полученные журналы на диск. Затем сборщик отправляет файл в Defender for Cloud Apps, когда размер файла превышает 40 КБ.
После отправки журнала в Defender for Cloud Apps он перемещается в каталог резервного копирования. В каталоге резервного копирования хранятся последние 20 журналов. При поступлении новых журналов старые удаляются. При заполнении дискового пространства сборщика журналов сборщик журналов удаляет новые журналы, пока не получите больше свободного места на диске (это не должно произойти, если выполнены необходимые условия). При этом на вкладке Сборщики журналов параметров отправки журналов автоматически появится предупреждение.
Перед настройкой автоматического сбора файлов журнала проверьте, соответствует ли журнал ожидаемому типу журнала. Вы хотите убедиться, что Defender for Cloud Apps может проанализировать конкретный файл. Дополнительные сведения см. в статье Использование журналов трафика для обнаружения в облаке.
Примечание.
- Defender for Cloud Apps обеспечивает поддержку переадресации журналов с сервера SIEM в сборщик журналов при условии, что журналы перенаправляются в исходном формате. Однако настоятельно рекомендуется интегрировать сборщик журналов непосредственно с брандмауэром и (или) прокси-сервером.
- Сборщик журналов сжимает данные перед отправкой. Исходящий трафик сборщика журналов будет составлять 10 % от размера получаемых им журналов трафика.
- Если сборщик журналов сталкивается с проблемами, вы получите оповещение после того, как данные не были получены в течение 48 часов.
Предварительные условия
- Место на диске 250 ГБ
- Ядер ЦП: 2
- Архитектура ЦП: Intel® 64 и AMD 64
- ОЗУ: 4 ГБ
- Настройка брандмауэра, как описано в разделе Требования к сети
Примечание.
Если у вас есть сборщик журналов и вы хотите удалить его перед его развертыванием снова или просто удалить его, выполните следующие команды:
docker stop <collector_name>
docker rm <collector_name>
Примечание.
Чтобы установить новую версию сборщика журналов, необходимо остановить сборщик журналов, удалить текущий образ и установить новый.
Производительность сборщика журналов
Сборщик журналов может успешно обрабатывать емкость журнала до 50 ГБ в час. Ниже перечислены main узкие места в процессе сбора журналов.
- Пропускная способность сети. Скорость передачи журнала определяется пропускной способностью сети.
- Производительность ввода-вывода виртуальной машины определяет скорость записи журналов на диск сборщика журналов. Сборщик журналов имеет встроенный механизм безопасности, который отслеживает скорость поступления журналов и сравнивает ее со скоростью отправки. В случаях перегрузки сборщик журналов начинает удалять файлы журналов. Если настройка обычно превышает 50 ГБ в час, рекомендуется разделить трафик между несколькими сборщиками журналов.
Связанные материалы
Сборщик журналов поддерживает режим развертывания контейнера . Дополнительные сведения см. в разделе:
- Настройка автоматической отправки журналов с помощью локального Docker в Windows
- Настройка автоматической отправки журналов с помощью Podman
- Настройка автоматической отправки журналов с помощью Docker в Azure
- Настройка автоматической отправки журналов с помощью Docker в Служба Azure Kubernetes (AKS)