設定連續報告的自動化記錄上傳
記錄收集器可讓您輕鬆地從網路自動上傳記錄。 記錄收集器在網路上執行,並透過 Syslog 或 FTP 接收記錄。 每個記錄都會自動化處理、壓縮並傳輸到入口網站。 FTP 記錄在檔案完成 FTP 傳輸至記錄收集器之後,上傳到適用於雲端應用程式的 Microsoft Defender。 使用 Syslog 時,記錄收集器會將收到的記錄寫入磁碟。 之後,當檔案大小大於 40 KB 時,記錄收集器會將檔案上傳至 Defender for Cloud Apps。
將記錄上傳至 Defender for Cloud Apps 之後,系統會將記錄移動至備份目錄。 備份目錄會儲存最後 20 個記錄。 當有新記錄出現時,舊記錄就會遭到刪除。 每當記錄收集器磁碟空間已滿時,記錄收集器就會卸除新的記錄,直到有更多可用的磁碟空間 (如果符合) 的必要條件,就不應該發生這種情況。 發生這種情況時,您會在 [上傳記錄檔自動設定] 的 [記錄收集器] 索引標籤上收到警告。
設定自動化記錄檔收集之前,請驗證您的記錄檔符合預期的記錄類型。 您想要確認 Defender for Cloud Apps 可以剖析您的特定檔案。 如需詳細資訊,請 參閱使用流量記錄進行雲端探索。
注意事項
- Defender for Cloud Apps 支援將記錄從 SIEM 伺服器轉送至記錄收集器,假設記錄是以原始格式轉送。 不過,強烈建議您直接將記錄收集器與防火牆和/或 Proxy 整合。
- 記錄收集器會先壓縮數據再上傳。 記錄收集器上的外寄流量將會是所接收之流量記錄大小的 10%。
- 如果記錄收集器發生問題,您會在 48 小時未收到數據之後收到警示。
必要條件
- 磁碟空間 250 GB
- CPU 核心:2
- CPU 架構:Intel® 64 和 AMD 64
- RAM:4 GB
- 如網路需求中所述設定防火牆
注意事項
如果您有現有的記錄收集器,而且想要在再次部署之前將其移除,或如果您只想要移除它,請執行下列命令:
docker stop <collector_name>
docker rm <collector_name>
注意事項
若要安裝新的記錄收集器版本,您必須停止記錄收集器、移除目前的映像,以及安裝新的映像。
記錄收集器效能
記錄收集器可以成功處理每小時最多 50 GB 的記錄容量。 記錄收集程式的主要瓶頸如下:
- 網路頻寬 - 您的網路頻寬會決定記錄上傳速度。
- 虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器具有內建的安全機制,可監視記錄抵達的速率,並將其與上傳速率進行比較。 發生壅塞時,記錄收集器會開始卸除記錄檔。 如果您的安裝程式通常每小時超過 50 GB,建議您在多個記錄收集器之間分割流量。
相關內容
記錄收集器支援 容器 部署模式。 如需詳細資訊,請參閱:
- 在 Windows 上使用內部部署 Docker 設定自動記錄上傳
- 使用 Podman 設定自動記錄上傳
- 在 Azure 中使用 Docker 設定自動記錄上傳
- 在 Azure Kubernetes Service (AKS) 中使用 Docker 設定自動記錄上傳