为连续报表配置自动上传日志
日志收集器使你能够轻松地自动从网络上传日志。 日志收集器在你的网络上运行,并且通过 Syslog 或 FTP 接收日志。 系统会自动处理、压缩每个日志并将其传输到门户。 在文件完成到日志收集器的 FTP 传输后,FTP 日志将上传到 Microsoft Defender for Cloud Apps。 对于 Syslog,日志收集器会将收到的日志写入磁盘。 然后,当文件大小大于 40 KB 时,收集器会将文件上传到 Defender for Cloud Apps。
在日志上传到 Defender for Cloud Apps 后,它将移动到备份目录。 备份目录存储最近 20 个日志。 当新日志出现时,旧日志将被删除。 当日志收集器的磁盘空间已满时,日志收集器会删除新日志,直到空出更多可用磁盘空间(如果先决条件得到满足,应该不会出现这种情况)。 发生这种情况时,“自动上传日志”设置的“日志收集器”选项卡上会显示一条警告。
在设置自动日志文件收集之前,请验证日志是否与预期的日志类型匹配。 你希望确保 Defender for Cloud Apps 可以分析你的特定文件。 有关详细信息,请参阅对 Cloud Discovery 使用流量日志。
注意
- Defender for Cloud Apps 支持将日志从 SIEM 服务器转发到日志收集器,并且假定日志是以原始格式转发的。 但是,强烈建议直接将日志收集器与防火墙和/或代理服务器集成。
- 日志收集器会先压缩数据,然后再将其上传。 日志收集器上的出站流量将是其接收的流量日志大小的 10%。
- 如果日志收集器遇到问题,则在 48 小时内未收到数据后,将收到警报。
先决条件
- 磁盘空间:250 GB
- CPU 核心:2 个
- CPU 体系结构:Intel® 64 和 AMD 64
- RAM:4 GB
- 按网络要求所述设置防火墙
注意
如果有现有的日志收集器,并且想要在再次部署它之前将其移除,或者只是想移除它,请运行以下命令:
docker stop <collector_name>
docker rm <collector_name>
注意
要安装日志收集器的新版本,需要停止日志收集器,移除当前映像并安装新映像。
日志收集器性能
日志收集器可以成功处理最大为 50 GB 每小时的日志容量。 日志收集过程中的主要瓶颈是:
- 网络带宽 - 网络带宽决定日志上传速度。
- 虚拟机的 I/O 性能 - 确定日志收集器磁盘写入日志的速度。 日志收集器具有内置的安全机制,用于监视日志到达的速率,并将其与上载速度进行比较。 如果出现拥塞情况,日志收集器将开始删除日志文件。 如果设置通常超过每小时 50 GB,建议在多个日志收集器之间拆分流量。
相关内容
日志收集器支持容器部署模式。 有关详细信息,请参阅:
- 使用 Windows 上的本地 Docker 配置自动上传日志
- 使用 Podman 配置自动日志上传
- 在 Azure 中使用 Docker 配置自动日志上传
- 在 Azure Kubernetes 服务 (AKS) 中使用 Docker 配置自动日志上传