在 Azure Kubernetes 服务 (AKS) 上使用 Docker 配置自动日志上传

本文介绍如何使用 Azure Kubernetes 服务 (AKS) 上的 Docker 容器为 Defender for Cloud Apps 中的连续报表配置自动日志上传。

注意

Microsoft Defender for Cloud Apps现在是Microsoft Defender XDR的一部分,它关联来自整个Microsoft Defender套件的信号,并提供事件级检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft Defender XDR 中的Microsoft Defender for Cloud Apps

设置和配置

  1. 登录到Microsoft Defender XDR并选择“设置>”“云应用>”“云发现>”“自动日志上传”。

  2. 请确保在“数据源”选项卡上定义了 数据源 。否则,请选择“ 添加数据源 ”以添加数据源。

  3. 选择“ 日志收集器 ”选项卡,其中列出了租户上部署的所有日志收集器。

  4. 选择“ 添加日志收集器 ”链接。 然后,在 “创建日志收集器 ”对话框中输入:

    字段 说明
    Name 根据日志收集器使用的密钥信息(例如内部命名标准或站点位置)输入有意义的名称。
    主机 IP 地址或 FQDN 输入日志收集器的主机或虚拟机 (VM) IP 地址。 确保 syslog 服务或防火墙可以访问输入的 IP 地址/FQDN。
    数据源 () 选择要使用的数据源。 如果使用多个数据源,则所选源将应用于单独的端口,以便日志收集器可以继续一致地发送数据。

    例如,以下列表显示了数据源和端口组合的示例:
    - 帕洛阿尔托: 601
    - CheckPoint:602
    - ZScaler:603
  5. 选择“ 创建 ”,在屏幕上显示特定情况的进一步说明。

  6. 转到 AKS 群集配置并运行:

    kubectl config use-context <name of AKS cluster>
    
  7. 使用以下语法运行 helm 命令:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
    

    使用配置收集器时使用的 docker 命令查找 helm 命令的值。 例如:

    (echo <Generated ID>) | docker run --name SyslogTLStest
    

成功后,日志显示从 mcr.microsoft.com 拉取映像并继续为容器创建 Blob。

有关详细信息,请参阅 配置连续报表的自动日志上传