使用 Podman 設定自動記錄上傳

注意事項

Microsoft Defender for Cloud Apps 現在是 Microsoft Defender 全面偵測回應 的一部分，可將來自 Microsoft Defender 套件的訊號相互關聯，並提供事件層級偵測、調查和強大的回應功能。 如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 中的 Microsoft Defender for Cloud Apps。

本文說明如何在內部部署伺服器中使用 Linux 上的 Podman 容器，在 Defender for Cloud Apps 中設定連續報告的自動記錄上傳。 使用 RHEL 7.1 或更新版本的客戶必須使用 Podman 進行自動記錄收集。

必要條件

前置作業：

• 請確定您使用的是具有 RHEL 7.1 和更新版本的容器。
• 由於 Docker 和 Podman 無法共存於相同的電腦上，因此請務必先卸載任何 Docker 安裝，再執行 Podman。
• 請確定您已以使用者 root 身分登入 RHEL 計算機，以部署 Podman

安裝和設定

1. 登入 Microsoft Defender 全面偵測回應]，然後選取 > [設定 Cloud Apps > Cloud Discovery > 自動記錄上傳]。

2. 請確定您已在 [資料源] 索引標籤上定義 數據源 。如果沒有，請選取 [新增數據源 ] 以新增數據源。

3. 選取 [ 記錄收集器 ] 索引標籤，其中列出部署在租使用者上的所有記錄收集器。

4. 選取 [ 新增記錄收集器 ] 連結。 然後，在 [ 建立記錄收集器 ] 對話框中輸入：

   欄位	描述
   名稱	根據記錄收集器所使用的金鑰資訊，例如內部命名標準或網站位置，輸入有意義的名稱。
   主機IP位址或 FQDN	輸入記錄收集器的主電腦或虛擬機 (VM) IP位址。 請確定您的 syslog 服務或防火牆可以存取您輸入的 IP 位址/FQDN。
   數據源 ()	選取您想要使用的資料來源。 如果您使用多個數據源，選取的來源會套用至個別的埠，讓記錄收集器可以持續一致地傳送數據。 例如，下列清單顯示資料來源和埠組合的範例： - Palo Alto：601 - CheckPoint：602 - ZScaler：603

5. 選 取 [建立 ] 以在畫面上顯示特定情況的進一步指示。

6. 複製顯示的命令，並根據您使用的容器服務視需要加以修改。 例如：

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. 在您的電腦上執行修改過的命令以部署容器。 成功時，記錄會顯示從 mcr.microsoft.com 提取映像，並繼續建立容器的 Blob。

8. 當容器完全部署時，請檢查容器化服務來確認其運作正常：

   podman ps
   

注意事項

Podman 容器不會在主機伺服器重新啟動時自動啟動。 重新啟動Podman主電腦也需要您重新啟動容器。

疑難排解

如果您未從 Podman 容器取得防火牆記錄，請檢查下列專案：

1. 請確定 rsyslog 會在記錄收集器上旋轉。

2. 如果您已進行變更，請等候數小時並執行下列命令，以查看是否有任何變更：

   podman logs <container name>
   

   其中 <container name> 是您所使用的容器名稱。

3. 如果記錄仍未傳送，請確定已使用 --privileged 旗標部署容器。 如果您尚未使用 旗標部署容器 --privileged ，容器將不會將上傳的檔案收集到主計算機。

相關內容

如需詳細資訊， 請參閱設定連續報告的自動記錄上傳。