使用 Podman 配置自动日志上传

注意

Microsoft Defender for Cloud Apps现在是Microsoft Defender XDR的一部分,它关联来自整个Microsoft Defender套件的信号,并提供事件级检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft Defender XDR 中的Microsoft Defender for Cloud Apps

本文介绍如何在本地服务器上使用 Linux 上的 Podman 容器为 Defender for Cloud Apps 中的连续报表配置自动日志上传。 使用 RHEL 7.1 或更高版本的客户必须使用 Podman 进行自动日志收集。

先决条件

开始之前:

  • 请确保使用 RHEL 7.1 及更高版本的容器。
  • 由于 Docker 和 Podman 不能在同一台计算机上共存,因此请确保在运行 Podman 之前卸载任何 Docker 安装。
  • 确保以用户 root 身份登录到 RHEL 计算机以部署 Podman

设置和配置

  1. 登录到Microsoft Defender XDR并选择“设置>”“云应用>”“云发现>”“自动日志上传”。

  2. 请确保在“数据源”选项卡上定义了 数据源 。否则,请选择“ 添加数据源 ”以添加数据源。

  3. 选择“ 日志收集器 ”选项卡,其中列出了租户上部署的所有日志收集器。

  4. 选择“ 添加日志收集器 ”链接。 然后,在 “创建日志收集器 ”对话框中输入:

    字段 说明
    Name 根据日志收集器使用的密钥信息(例如内部命名标准或站点位置)输入有意义的名称。
    主机 IP 地址或 FQDN 输入日志收集器的主机或虚拟机 (VM) IP 地址。 确保 syslog 服务或防火墙可以访问输入的 IP 地址/FQDN。
    数据源 () 选择要使用的数据源。 如果使用多个数据源,则所选源将应用于单独的端口,以便日志收集器可以继续一致地发送数据。

    例如,以下列表显示了数据源和端口组合的示例:
    - 帕洛阿尔托: 601
    - CheckPoint:602
    - ZScaler:603
  5. 选择“ 创建 ”,在屏幕上显示特定情况的进一步说明。

  6. 复制显示的命令,并根据正在使用的容器服务根据需要对其进行修改。 例如:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
    
  7. 在计算机上运行修改后的命令以部署容器。 成功后,日志显示从 mcr.microsoft.com 拉取映像并继续为容器创建 Blob。

  8. 完全部署容器后,请通过检查容器化服务来验证它是否正常工作:

    podman ps
    

注意

重新启动主机服务器时,Podman 容器不会自动启动。 重启 Podman 主机需要再次启动容器。

疑难解答

如果未从 Podman 容器获取防火墙日志,检查以下内容:

  1. 确保 rsyslog 在日志收集器上旋转。

  2. 如果已进行更改,请等待几个小时并运行以下命令,查看是否有任何更改:

    podman logs <container name>
    

    其中 <container name> 是正在使用的容器的名称。

  3. 如果日志仍未发送,请确保使用 --privileged 标志部署容器。 如果尚未使用 标志部署容器 --privileged ,则容器不会将上传的文件收集到主机计算机。

有关详细信息,请参阅 配置连续报表的自动日志上传