تكوين التحميل التلقائي للسجلات للتقارير المستمرة
يتيح لك مجمعو السجلات أتمتة تحميل السجل بسهولة من شبكتك. يعمل مجمع السجل على شبكتك ويتلقى السجلات عبر Syslog أو FTP. تتم معالجة كل سجل تلقائيا وضغطه وإرساله إلى المدخل. يتم تحميل سجلات FTP إلى Microsoft Defender for Cloud Apps بعد انتهاء الملف من نقل FTP إلى Log Collector. بالنسبة إلى Syslog، يكتب Log Collector السجلات المستلمة إلى القرص. ثم يقوم المجمع بتحميل الملف إلى Defender for Cloud Apps عندما يكون حجم الملف أكبر من 40 كيلوبايت.
بعد تحميل السجل إلى Defender for Cloud Apps، يتم نقله إلى دليل النسخ الاحتياطي. يخزن دليل النسخ الاحتياطي آخر 20 سجلا. عند وصول سجلات جديدة، يتم حذف السجلات القديمة. عندما تكون مساحة قرص جامع السجل ممتلئة، يقوم جامع السجل بإسقاط سجلات جديدة حتى يحتوي على مساحة قرص أكثر خالية (لا ينبغي أن يحدث هذا إذا تم استيفاء المتطلبات الأساسية بشكل صحيح). ستتلقى تحذيرا في علامة التبويب Log collectors في إعدادات Upload logs تلقائيا عند حدوث ذلك.
قبل إعداد مجموعة ملفات السجل التلقائية، تحقق من تطابق السجل مع نوع السجل المتوقع. تريد التأكد من أن Defender for Cloud Apps يمكنه تحليل ملفك المحدد. لمزيد من المعلومات، راجع استخدام سجلات نسبة استخدام الشبكة لاكتشاف السحابة.
ملاحظة
- يوفر Defender for Cloud Apps الدعم لإعادة توجيه السجلات من خادم SIEM إلى Log Collector بافتراض أنه تتم إعادة توجيه السجلات بتنسيقها الأصلي. ومع ذلك، يوصى بشدة بدمج جامع السجل مباشرة مع جدار الحماية و/أو الوكيل.
- يقوم مجمع السجل بضغط البيانات قبل تحميلها. ستكون نسبة استخدام الشبكة الصادرة على مجمع السجل 10٪ من حجم سجلات نسبة استخدام الشبكة التي يتلقاها.
- إذا واجه مجمع السجل مشكلات، فستتلقى تنبيها بعد عدم تلقي البيانات لمدة 48 ساعة.
المتطلبات الأساسية
- مساحة القرص 250 غيغابايت
- الذاكرات الأساسية لوحدة المعالجة المركزية: 2
- بنية وحدة المعالجة المركزية: Intel® 64 وAMD 64
- ذاكرة الوصول العشوائي: 4 غيغابايت
- تعيين جدار الحماية الخاص بك كما هو موضح في متطلبات الشبكة
ملاحظة
إذا كان لديك جامع سجل موجود وتريد إزالته قبل نشره مرة أخرى، أو إذا كنت تريد إزالته ببساطة، فقم بتشغيل الأوامر التالية:
docker stop <collector_name>
docker rm <collector_name>
ملاحظة
لتثبيت إصدار جامع سجل جديد، ستحتاج إلى إيقاف جامع السجل الخاص بك، وإزالة الصورة الحالية، وتثبيت الصورة الجديدة.
أداء مجمع السجل
يمكن لجامع السجل معالجة سعة السجل التي تصل إلى 50 غيغابايت في الساعة بنجاح. الازدحامات الرئيسية في عملية جمع السجل هي:
- النطاق الترددي للشبكة - يحدد النطاق الترددي للشبكة سرعة تحميل السجل.
- أداء الإدخال/الإخراج للجهاز الظاهري - يحدد السرعة التي تتم بها كتابة السجلات إلى قرص جامع السجل. يحتوي مجمع السجل على آلية أمان مضمنة تراقب معدل وصول السجلات ومقارنتها بمعدل التحميل. في حالات الازدحام، يبدأ جامع السجل في إسقاط ملفات السجل. إذا تجاوز الإعداد عادة 50 غيغابايت في الساعة، فمن المستحسن تقسيم نسبة استخدام الشبكة بين مجمعات سجلات متعددة.
المحتويات ذات الصلة
يدعم Log Collector وضع نشر الحاوية . لمزيد من المعلومات، اطلع على:
- تكوين تحميل السجل التلقائي باستخدام Docker المحلي على Windows
- تكوين تحميل السجل التلقائي باستخدام Podman
- تكوين تحميل السجل التلقائي باستخدام Docker في Azure
- تكوين تحميل السجل التلقائي باستخدام Docker في خدمة Azure Kubernetes (AKS)