تكوين تحميل السجل التلقائي باستخدام Docker في Azure

مقالة
11/28/2024

توضح هذه المقالة كيفية تكوين تحميلات السجل التلقائية للتقارير المستمرة في Defender for Cloud Apps باستخدام Docker على Ubuntu أو CentOS في Azure.

المتطلبات الأساسية

قبل البدء، تأكد من أن بيئتك تفي بالمتطلبات التالية:

احتياج	الوصف
نظام التشغيل	أحد الإجراءات التالية: - Ubuntu 14.04 و16.04 و18.04 و20.04 - CentOS 7.2 أو أعلى
مساحة القرص	250 غيغابايت
الذاكرات الأساسية لوحدة المعالجة المركزية	2
بنية وحدة المعالجة المركزية	Intel 64 وAMD 64
كبش	4 غيغابايت
تكوين جدار الحماية	كما هو محدد في متطلبات الشبكة

تخطيط مجمعات السجل حسب الأداء

يمكن لكل جامع سجل التعامل بنجاح مع سعة السجل التي تصل إلى 50 غيغابايت في الساعة تتكون من ما يصل إلى 10 مصادر بيانات. الازدحامات الرئيسية في عملية جمع السجل هي:

النطاق الترددي للشبكة - يحدد النطاق الترددي للشبكة سرعة تحميل السجل.
أداء الإدخال/الإخراج للجهاز الظاهري - يحدد السرعة التي تتم بها كتابة السجلات إلى قرص جامع السجل. يحتوي مجمع السجل على آلية أمان مضمنة تراقب معدل وصول السجلات ومقارنتها بمعدل التحميل. في حالات الازدحام، يبدأ جامع السجل في إسقاط ملفات السجل. إذا تجاوز الإعداد عادة 50 غيغابايت في الساعة، نوصي بتقسيم نسبة استخدام الشبكة بين مجمعات سجلات متعددة.

إذا كنت تحتاج إلى أكثر من 10 مصادر بيانات، نوصي بتقسيم مصادر البيانات بين مجمعات سجلات متعددة.

تحديد مصادر البيانات الخاصة بك

في Microsoft Defender Portal، حدد Settings > Cloud Apps > Cloud Discovery > Automatic log upload.
في علامة التبويب مصادر البيانات ، قم بإنشاء مصدر بيانات مطابق لكل جدار حماية أو وكيل تريد تحميل السجلات منه:
1. حدد Add data source.
2. في مربع الحوار إضافة مصدر بيانات ، أدخل اسما لمصدر البيانات، ثم حدد نوع المصدر والمتلقي.
  
  قبل تحديد مصدر، حدد View sample of expected log file وقارن السجل بالتنسيق المتوقع. إذا لم يتطابق تنسيق ملف السجل مع هذا النموذج، أضف مصدر البيانات كغيره.
  
  للعمل مع جهاز شبكة غير مدرج، حدد تنسيق سجل العملاء الآخرين > أو آخر (يدوي فقط). لمزيد من المعلومات، راجع العمل مع محلل السجل المخصص.
ملاحظة

غالبا ما يتطلب التكامل مع بروتوكولات النقل الآمن (FTPS وSyslog - TLS) إعدادات إضافية على جدار الحماية/الوكيل. لمزيد من المعلومات، راجع إدارة مجمع السجلات المتقدمة.

كرر هذه العملية لكل جدار حماية ووكيل يمكن استخدام سجلاته للكشف عن نسبة استخدام الشبكة على شبكتك.

نوصي بإعداد مصدر بيانات مخصص لكل جهاز شبكة، مما يتيح لك مراقبة حالة كل جهاز بشكل منفصل لأغراض التحقيق، واستكشاف Shadow IT Discovery لكل جهاز إذا تم استخدام كل جهاز بواسطة مقطع مستخدم مختلف.

إنشاء جامع سجل

في Microsoft Defender Portal، حدد Settings > Cloud Apps > Cloud Discovery > Automatic log upload.
في علامة التبويب Log collectors ، حدد Add log collector.
في مربع الحوار Create log collector ، أدخل التفاصيل التالية:
- اسم لجامع السجل الخاص بك
- عنوان IP المضيف، وهو عنوان IP الخاص للجهاز الذي ستستخدمه لنشر Docker. يمكن أيضا استبدال عنوان IP المضيف باسم الجهاز، إذا كان هناك خادم DNS أو ما يعادله لحل اسم المضيف.
ثم حدد مربع مصدر (مصادر) البيانات لتحديد مصادر البيانات التي تريد الاتصال بها، وحدد تحديث لحفظ التغييرات. يمكن لكل جامع سجل معالجة مصادر بيانات متعددة.

يعرض مربع الحوار Create log collector مزيدا من تفاصيل التوزيع، بما في ذلك أمر لاستيراد تكوين المجمع. على سبيل المثال:
حدد انسخ الأيقونة بجوار الأمر لنسخها إلى الحافظة.

تختلف التفاصيل المعروضة في مربع الحوار Create log collector ، اعتمادا على أنواع المصدر والمتلقي المحددة. على سبيل المثال، إذا حددت Syslog، يتضمن مربع الحوار تفاصيل حول المنفذ الذي يستمع إليه مستمع syslog.

انسخ محتويات الشاشة واحفظها محليا، حيث ستحتاج إليها عند تكوين جامع السجل للتواصل مع Defender for Cloud Apps.
حدد تصدير لتصدير تكوين المصدر إلى ملف .CSV يصف كيفية تكوين تصدير السجل في أجهزتك.

تلميح

بالنسبة للمستخدمين الذين يرسلون بيانات السجل عبر FTP للمرة الأولى، نوصي بتغيير كلمة المرور لمستخدم FTP. لمزيد من المعلومات، راجع تغيير كلمة مرور FTP.

نشر جهازك في Azure

يصف هذا الإجراء كيفية نشر جهازك باستخدام Ubuntu. تختلف خطوات التوزيع للأنظمة الأساسية الأخرى قليلا.

إنشاء جهاز Ubuntu جديد في بيئة Azure الخاصة بك.

بعد تشغيل الجهاز، افتح المنافذ:

في طريقة عرض الجهاز، انتقل إلى الشبكات حدد الواجهة ذات الصلة بالنقر نقرا مزدوجا فوقها.
انتقل إلى مجموعة أمان الشبكة وحدد مجموعة أمان الشبكة ذات الصلة.
انتقل إلى قواعد الأمان الواردة وانقر فوق إضافة.

أضف القواعد التالية (في الوضع المتقدم ):

الاسم	نطاقات منفذ الوجهة	بروتوكول	مصدر	مقصد
caslogcollector_ftp	21	TCP	`Your appliance's IP address's subnet`	أي
caslogcollector_ftp_passive	20000-20099	TCP	`Your appliance's IP address's subnet`	أي
caslogcollector_syslogs_tcp	601-700	TCP	`Your appliance's IP address's subnet`	أي
caslogcollector_syslogs_udp	514-600	UDP	`Your appliance's IP address's subnet`	أي

لمزيد من المعلومات، راجع العمل مع قواعد الأمان.

ارجع إلى الجهاز وانقر فوق اتصال لفتح محطة طرفية على الجهاز.
قم بالتغيير إلى امتيازات الجذر باستخدام sudo -i.
إذا قبلت شروط ترخيص البرنامج، فقم بإلغاء تثبيت الإصدارات القديمة وتثبيت Docker CE عن طريق تشغيل الأوامر المناسبة لبيئتك:
- CentOS
- Ubuntu
1. إزالة الإصدارات القديمة من Docker: yum erase docker docker-engine docker.io
2. تثبيت المتطلبات الأساسية لمحرك Docker: yum install -y yum-utils
3. إضافة مستودع Docker:
```
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache
```
4. تثبيت محرك Docker: yum -y install docker-ce
5. بدء تشغيل Docker
```
systemctl start docker
systemctl enable docker
```
6. اختبار تثبيت Docker: docker run hello-world
1. إزالة الإصدارات القديمة من Docker: apt-get remove docker docker-engine docker.io
2. إذا كنت تقوم بتثبيت على Ubuntu 14.04، فقم بتثبيت حزمة linux-image-extra.
```
apt-get update -y
apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
```
3. تثبيت المتطلبات الأساسية لمحرك Docker:
```
apt-get update -y
(apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
```
4. تحقق من أن معرف UID لبصمة الإصبع apt-key هو docker@docker.com: apt-key fingerprint | grep uid
5. تثبيت محرك Docker:
```
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update -y
apt-get install -y docker-ce
```
6. اختبار تثبيت Docker: docker run hello-world

قم بتشغيل الأمر الذي نسخته مسبقا من مربع الحوار Create log collector . على سبيل المثال:

(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

للتحقق من أن جامع السجل يعمل بشكل صحيح، قم بتشغيل الأمر التالي: Docker logs <collector_name>. يجب أن تحصل على النتائج: انتهى بنجاح!

تكوين إعدادات جهاز الشبكة المحلية

قم بتكوين جدران حماية الشبكة والوكلاء لتصدير السجلات بشكل دوري إلى منفذ Syslog المخصص لدليل FTP وفقا للإرشادات الموجودة في مربع الحوار. على سبيل المثال:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

تحقق من التوزيع في Defender for Cloud Apps

تحقق من حالة المجمع في جدول جامع السجل وتأكد من أن الحالة متصلة. إذا تم إنشاؤه، فمن المحتمل أن اتصال جامع السجل وتحليله لم يكتملا.

على سبيل المثال:

يمكنك أيضا الانتقال إلى سجل الحوكمة والتحقق من تحميل السجلات بشكل دوري إلى المدخل.

بدلا من ذلك، يمكنك التحقق من حالة مجمع السجل من داخل حاوية docker باستخدام الأوامر التالية:

سجل الدخول إلى الحاوية باستخدام هذا الأمر: docker exec -it <Container Name> bash
تحقق من حالة مجمع السجل باستخدام هذا الأمر: collector_status -p

إذا كانت لديك مشكلات أثناء التوزيع، فراجع استكشاف أخطاء اكتشاف السحابة وإصلاحها.

اختياري - إنشاء تقارير مستمرة مخصصة

تحقق من تحميل السجلات إلى Defender for Cloud Apps وإنشاء التقارير. بعد التحقق، قم بإنشاء تقارير مخصصة. يمكنك إنشاء تقارير اكتشاف مخصصة استنادا إلى مجموعات المستخدمين Microsoft Entra. على سبيل المثال، إذا كنت تريد رؤية استخدام السحابة لقسم التسويق الخاص بك، فاستورد مجموعة التسويق باستخدام ميزة استيراد مجموعة المستخدمين. ثم قم بإنشاء تقرير مخصص لهذه المجموعة. يمكنك أيضا تخصيص تقرير استنادا إلى علامة عنوان IP أو نطاقات عناوين IP.

في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة.
ضمن Cloud Discovery، حدد Continuous reports.
انقر فوق الزر إنشاء تقرير واملأ الحقول.
ضمن عوامل التصفية ، يمكنك تصفية البيانات حسب مصدر البيانات، أو بواسطة مجموعة المستخدمين المستوردة، أو حسب علامات ونطاقات عناوين IP.

ملاحظة

عند تطبيق عوامل التصفية على التقارير المستمرة، سيتم تضمين التحديد، وليس استبعاده. على سبيل المثال، إذا قمت بتطبيق عامل تصفية على مجموعة مستخدمين معينة، تضمين مجموعة المستخدمين هذه فقط في التقرير.

إزالة جامع السجل الخاص بك

إذا كان لديك جامع سجل موجود وتريد إزالته قبل نشره مرة أخرى، أو إذا كنت تريد إزالته ببساطة، فقم بتشغيل الأوامر التالية:

docker stop <collector_name>
docker rm <collector_name>

الخطوات التالية

تعديل تكوين FTP لجامع السجل

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.

مشاركة عبر