Konfigurera automatisk logguppladdning med Docker i Azure Kubernetes Service (AKS)
I den här artikeln beskrivs hur du konfigurerar automatisk logguppladdning för kontinuerliga rapporter i Defender för molnet-appar med hjälp av en Docker-container i Azure Kubernetes Service (AKS).
Kommentar
Microsoft Defender för molnet Apps är nu en del av Microsoft Defender XDR, som korrelerar signaler från hela Microsoft Defender-sviten och tillhandahåller identifierings-, undersöknings- och kraftfulla svarsfunktioner på incidentnivå. Mer information finns i Microsoft Defender för molnet Appar i Microsoft Defender XDR.
Inställningar och konfiguration
Logga in på Microsoft Defender XDR och välj Inställningar Cloud Apps > Cloud Discovery > Automatisk logguppladdning>.
Kontrollera att du har en definierad datakälla på fliken Datakällor . Om du inte gör det väljer du Lägg till en datakälla för att lägga till en.
Välj fliken Logginsamlare , som visar en lista över alla logginsamlare som har distribuerats i din klientorganisation.
Välj länken Lägg till logginsamlare. I dialogrutan Skapa logginsamlare anger du sedan:
Fält Beskrivning Namn Ange ett beskrivande namn baserat på viktig information som logginsamlaren använder, till exempel din interna namngivningsstandard eller en platsplats. Värd-IP-adress eller FQDN Ange logginsamlarens värddator eller IP-adress för virtuell dator . Kontrollera att syslog-tjänsten eller brandväggen har åtkomst till den IP-adress/det fullständiga domännamn som du anger. Datakällor Välj den datakälla som du vill använda. Om du använder flera datakällor tillämpas den valda källan på en separat port så att logginsamlaren kan fortsätta att skicka data konsekvent.
Följande lista visar till exempel exempel på kombinationer av datakällor och portar:
- Palo Alto: 601
– CheckPoint: 602
- ZScaler: 603Välj Skapa för att visa ytterligare instruktioner på skärmen för din specifika situation.
Gå till konfigurationen av AKS-klustret och kör:
kubectl config use-context <name of AKS cluster>
Kör helm-kommandot med följande syntax:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
Leta upp värdena för helm-kommandot med hjälp av docker-kommandot som används när insamlaren har konfigurerats. Till exempel:
(echo <Generated ID>) | docker run --name SyslogTLStest
När det lyckas visar loggarna hur du hämtar en avbildning från mcr.microsoft.com och fortsätter att skapa blobar för containern.
Relaterat innehåll
Mer information finns i Konfigurera automatisk logguppladdning för kontinuerliga rapporter.