在 Azure Kubernetes Service (AKS) 上使用 Docker 設定自動記錄上傳

本文說明如何在 Azure Kubernetes Service (AKS) 上使用 Docker 容器，在 Defender for Cloud Apps 中設定連續報表的自動記錄上傳。

注意事項

Microsoft Defender for Cloud Apps 現在是 Microsoft Defender 全面偵測回應 的一部分，可將來自 Microsoft Defender 套件的訊號相互關聯，並提供事件層級偵測、調查和強大的回應功能。 如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 中的 Microsoft Defender for Cloud Apps。

安裝和設定

1. 登入 Microsoft Defender 全面偵測回應]，然後選取 > [設定 Cloud Apps > Cloud Discovery > 自動記錄上傳]。

2. 請確定您已在 [資料源] 索引標籤上定義 數據源 。如果沒有，請選取 [新增數據源 ] 以新增數據源。

3. 選取 [ 記錄收集器 ] 索引標籤，其中列出部署在租使用者上的所有記錄收集器。

4. 選取 [ 新增記錄收集器 ] 連結。 然後，在 [ 建立記錄收集器 ] 對話框中輸入：

   欄位	描述
   名稱	根據記錄收集器所使用的金鑰資訊，例如內部命名標準或網站位置，輸入有意義的名稱。
   主機IP位址或 FQDN	輸入記錄收集器的主電腦或虛擬機 (VM) IP位址。 請確定您的 syslog 服務或防火牆可以存取您輸入的 IP 位址/FQDN。
   數據源 ()	選取您想要使用的資料來源。 如果您使用多個數據源，選取的來源會套用至個別的埠，讓記錄收集器可以持續一致地傳送數據。 例如，下列清單顯示資料來源和埠組合的範例： - Palo Alto：601 - CheckPoint：602 - ZScaler：603

5. 選 取 [建立 ] 以在畫面上顯示特定情況的進一步指示。

6. 移至您的 AKS 叢集設定並執行：

   kubectl config use-context <name of AKS cluster>
   

7. 使用下列語法執行 helm 命令：

   helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
   

   使用設定收集器時所使用的 docker 命令，尋找 helm 命令的值。 例如：

   (echo <Generated ID>) | docker run --name SyslogTLStest
   

成功時，記錄會顯示從 mcr.microsoft.com 提取映像，並繼續建立容器的 Blob。

相關內容

如需詳細資訊， 請參閱設定連續報告的自動記錄上傳。