Поделиться через

Настройка автоматической отправки журналов с помощью Docker в Служба Azure Kubernetes (AKS)

  • Статья

В этой статье описывается настройка автоматической отправки журналов для непрерывных отчетов в Defender for Cloud Apps с помощью контейнера Docker в Служба Azure Kubernetes (AKS).

Примечание.

Microsoft Defender for Cloud Apps теперь является частью Microsoft Defender XDR, которая сопоставляет сигналы из разных Microsoft Defender набора и предоставляет возможности обнаружения, исследования и эффективного реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps в Microsoft Defender XDR.

Настройка и конфигурация

  1. Войдите в Microsoft Defender XDR и выберите Параметры Облачные > приложения > Cloud Discovery > Автоматическая отправка журнала.

  2. Убедитесь, что на вкладке Источники данных определен источник данных. В противном случае выберите Добавить источник данных , чтобы добавить его.

  3. Выберите вкладку Сборщики журналов , на которой перечислены все сборщики журналов, развернутые в клиенте.

  4. Щелкните ссылку Добавить сборщик журналов . Затем в диалоговом окне Создание сборщика журналов введите:

    Поле Описание
    Name Введите понятное имя на основе ключевых сведений, которые использует сборщик журналов, таких как ваш внутренний стандарт именования или расположение сайта.
    IP-адрес узла или полное доменное имя Введите IP-адрес хост-машины или виртуальной машины (ВМ) сборщика журналов. Убедитесь, что служба системного журнала или брандмауэр могут получить доступ к ip-адресу или полному доменному имени, которые вы вводите.
    Источники данных Выберите источник данных, который вы хотите использовать. Если вы используете несколько источников данных, выбранный источник применяется к отдельному порту, чтобы сборщик журналов продолжал отправлять данные согласованно.

    Например, в следующем списке приведены примеры сочетаний источников данных и портов:
    - Пало Альто: 601
    — CheckPoint: 602
    - ZScaler: 603

  5. Выберите Создать, чтобы отобразить на экране дополнительные инструкции для конкретной ситуации.

  6. Перейдите к конфигурации кластера AKS и выполните следующую команду:

    kubectl config use-context <name of AKS cluster>

  7. Выполните команду helm, используя следующий синтаксис:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Найдите значения для команды helm с помощью команды docker, используемой при настройке сборщика. Например:

    (echo <Generated ID>) | docker run --name SyslogTLStest

При успешном выполнении журналы показывают извлечение образа из mcr.microsoft.com и продолжение создания больших двоичных объектов для контейнера.

Связанные материалы

Дополнительные сведения см. в разделе Настройка автоматической отправки журналов для непрерывных отчетов.