مشاركة عبر

تكوين تحميل السجل التلقائي باستخدام Docker المحلي على Windows

  • مقالة

يمكنك تكوين تحميل السجل التلقائي للتقارير المستمرة في Defender for Cloud Apps باستخدام Docker على Windows.

المتطلبات الأساسية

  • مواصفات البنية:

    مواصفات الوصف
    نظام التشغيل أحد الإجراءات التالية:
  • Windows 10 (تحديث منشئي الخريف)
  • الإصدار 1709+ من Windows Server (SAC)
  • Windows Server 2019 (LTSC)
    		•
    مساحة القرص 250 غيغابايت
    الذاكرات الأساسية لوحدة المعالجة المركزية 2
    بنية وحدة المعالجة المركزية Intel 64 وAMD 64
    كبش 4 غيغابايت

    للحصول على قائمة ببنى Docker المدعومة، راجع وثائق تثبيت Docker.

  • قم بتعيين جدار الحماية الخاص بك حسب الحاجة. لمزيد من المعلومات، راجع متطلبات الشبكة.

  • يجب تمكين الظاهرية على نظام التشغيل باستخدام Hyper-V.

هام

  • يتطلب عملاء المؤسسات الذين لديهم أكثر من 250 مستخدما أو أكثر من 10 ملايين دولار أمريكي من الإيرادات السنوية اشتراكا مدفوعا لاستخدام Docker Desktop لنظام التشغيل Windows. لمزيد من المعلومات، راجع نظرة عامة على اشتراك Docker.
  • يجب تسجيل دخول المستخدم ل Docker لجمع السجلات. نوصي بنصح مستخدمي Docker بقطع الاتصال دون تسجيل الخروج.
  • Docker لنظام التشغيل Windows غير مدعوم رسميا في سيناريوهات ظاهرية VMWare.
  • Docker لنظام التشغيل Windows غير مدعوم رسميا في سيناريوهات الظاهرية المتداخلة. إذا كنت لا تزال تخطط لاستخدام الظاهرية المتداخلة، فراجع الدليل الرسمي ل Docker.
  • للحصول على معلومات حول اعتبارات التكوين والتنفيذ الإضافية ل Docker لنظام التشغيل Windows، راجع تثبيت Docker Desktop على Windows.

إزالة جامع سجل موجود

إذا كان لديك جامع سجل موجود وتريد إزالته قبل نشره مرة أخرى، أو إذا كنت تريد إزالته ببساطة، فقم بتشغيل الأوامر التالية:

docker stop <collector_name>
docker rm <collector_name>

أداء مجمع السجل

يمكن لجامع السجل معالجة سعة السجل التي تصل إلى 50 غيغابايت في الساعة بنجاح. الازدحامات الرئيسية في عملية جمع السجل هي:

  • النطاق الترددي للشبكة - يحدد النطاق الترددي للشبكة سرعة تحميل السجل.

  • أداء الإدخال/الإخراج للجهاز الظاهري - يحدد السرعة التي تتم بها كتابة السجلات إلى قرص جامع السجل. يحتوي مجمع السجل على آلية أمان مضمنة تراقب معدل وصول السجلات ومقارنتها بمعدل التحميل. في حالات الازدحام، يبدأ جامع السجل في إسقاط ملفات السجل. إذا تجاوز الإعداد عادة 50 غيغابايت في الساعة، فمن المستحسن تقسيم نسبة استخدام الشبكة بين مجمعات سجلات متعددة.

الخطوة 1 - تكوين مدخل الويب

استخدم الخطوات التالية لتعريف مصادر البيانات وربطها بمجمع السجلات. يمكن لمجمع سجل واحد معالجة مصادر بيانات متعددة.

  1. في مدخل Microsoft Defender، حدد علامة التبويب Settings>Cloud Apps>Cloud Discovery>Automatic log upload>Data sources.

  2. لكل جدار حماية أو وكيل تريد تحميل السجلات منه، قم بإنشاء مصدر بيانات مطابق:

    1. حدد +Add data source.

      لقطة شاشة لزر إضافة مصدر بيانات.

    2. قم بتسمية الوكيل أو جدار الحماية.

      لقطة شاشة لمربع الحوار

    3. حدد الجهاز من قائمة المصدر . إذا حددت تنسيق سجل مخصص للعمل مع جهاز شبكة غير مدرج، فشاهد العمل مع محلل السجل المخصص للحصول على إرشادات التكوين.

    4. قارن السجل الخاص بك مع نموذج تنسيق السجل المتوقع. إذا لم يتطابق تنسيق ملف السجل مع هذا النموذج، فيجب إضافة مصدر البيانات كغيره.

    5. قم بتعيين نوع المتلقي إما إلى FTP أو FTPS أو Syslog - UDP أو Syslog - TCP أو Syslog - TLS.

      ملاحظة

      غالبا ما يتطلب التكامل مع بروتوكولات النقل الآمن (FTPS وSyslog – TLS) إعدادات إضافية لجدار الحماية/الوكيل.

    6. كرر هذه العملية لكل جدار حماية ووكيل يمكن استخدام سجلاته للكشف عن نسبة استخدام الشبكة على شبكتك. نوصي بإعداد مصدر بيانات مخصص لكل جهاز شبكة لتمكينك من:

      • مراقبة حالة كل جهاز بشكل منفصل، لأغراض التحقيق.
      • استكشف Shadow IT Discovery لكل جهاز، إذا تم استخدام كل جهاز بواسطة مقطع مستخدم مختلف.

  3. في أعلى الصفحة، حدد علامة التبويب Log collectors ثم حدد Add log collector.

  4. في مربع الحوار Create log collector :

    1. في حقل الاسم ، أدخل اسما ذا معنى لجامع السجل الخاص بك.

    2. امنح جامع السجل اسما وأدخل عنوان IP المضيف (عنوان IP الخاص) للجهاز الذي ستستخدمه لنشر Docker. يمكن استبدال عنوان IP المضيف باسم الجهاز، إذا كان هناك خادم DNS (أو ما يعادله) سيحل اسم المضيف.

    3. حدد كافة مصادر البيانات التي تريد الاتصال بها، وحدد تحديث لحفظ التكوين.

      تظهر معلومات النشر الإضافية في قسم الخطوات التالية ، بما في ذلك أمر ستستخدمه لاحقا لاستيراد تكوين المجمع. إذا حددت Syslog، فستتضمن هذه المعلومات أيضا بيانات حول المنفذ الذي يستمع إليه مستمع Syslog.

    4. استخدم أيقونة النسخ إلى الحافظة.زر النسخ لنسخ الأمر إلى الحافظة وحفظه في موقع منفصل.

    5. استخدم الزر تصديرالتصدير لتصدير تكوين مصدر البيانات المتوقع. يصف هذا التكوين كيفية تعيين تصدير السجل في أجهزتك.

بالنسبة للمستخدمين الذين يرسلون بيانات السجل عبر FTP للمرة الأولى، نوصي بتغيير كلمة المرور لمستخدم FTP. لمزيد من المعلومات، راجع تغيير كلمة مرور FTP.

الخطوة 2 - التوزيع المحلي لجهازك

تصف الخطوات التالية التوزيع في Windows. تختلف خطوات التوزيع للأنظمة الأساسية الأخرى قليلا.

  1. افتح محطة PowerShell كمسؤول على جهاز Windows.

  2. قم بتشغيل الأمر التالي لتنزيل ملف البرنامج النصي PowerShell لمثبت Windows Docker:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    للتحقق من أن المثبت موقع من قبل Microsoft، راجع التحقق من صحة توقيع المثبت.

  3. لتمكين تنفيذ البرنامج النصي PowerShell، قم بتشغيل:

    Set-ExecutionPolicy RemoteSigned`

  4. لتثبيت عميل Docker على جهازك، قم بتشغيل:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    تتم إعادة تشغيل الجهاز تلقائيا بعد تشغيل الأمر.

  5. عندما يكون الجهاز قيد التشغيل مرة أخرى، قم بتشغيل نفس الأمر مرة أخرى:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. قم بتشغيل مثبت Docker، مع تحديد استخدام WSL 2 بدلا من Hyper-V.

    بعد اكتمال التثبيت، تتم إعادة تشغيل الجهاز تلقائيا مرة أخرى.

  7. بعد اكتمال إعادة التشغيل، افتح عميل Docker واقبل اتفاقية اشتراك Docker.

  8. إذا لم يكتمل تثبيت WSL2، تظهر رسالة للإشارة إلى أن WSL 2 Linux kernel مثبت باستخدام حزمة تحديث MSI منفصلة.

  9. أكمل التثبيت عن طريق تنزيل الحزمة. لمزيد من المعلومات، راجع تنزيل حزمة تحديث Linux kernel.

  10. افتح عميل Docker Desktop مرة أخرى وتأكد من أنه قد بدأ.

  11. افتح موجه الأوامر كمسؤول وأدخل أمر التشغيل الذي نسخته سابقا من المدخل في الخطوة 1 - تكوين مدخل الويب.

    إذا كنت بحاجة إلى تكوين وكيل، أضف عنوان IP الوكيل ورقم المنفذ. على سبيل المثال، إذا كانت تفاصيل الوكيل 172.31.255.255:8080، فإن أمر التشغيل المحدث هو:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. للتحقق من تشغيل المجمع بشكل صحيح، قم بتشغيل:

    docker logs <collector_name>

    يجب أن تشاهد الرسالة: تم الانتهاء بنجاح! على سبيل المثال:

    لقطة شاشة لأمر يعمل به المجمع بشكل صحيح.

الخطوة 3 - التكوين المحلي لأجهزة الشبكة

قم بتكوين جدران حماية الشبكة والوكلاء لتصدير السجلات بشكل دوري إلى منفذ Syslog المخصص لدليل FTP وفقا للإرشادات الموجودة في مربع الحوار. على سبيل المثال:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

الخطوة 4 - التحقق من التوزيع الناجح في المدخل

تحقق من حالة المجمع في جدول جامع السجل وتأكد من أن الحالة متصلة. إذا تم إنشاؤه، فمن المحتمل أن اتصال جامع السجل وتحليله لم يكتملا.

تحقق من أن حالة المجمع متصلة.

يمكنك أيضا الانتقال إلى سجل الحوكمة والتحقق من تحميل السجلات بشكل دوري إلى المدخل.

بدلا من ذلك، يمكنك التحقق من حالة مجمع السجل من داخل حاوية docker باستخدام الأوامر التالية:

  1. سجل الدخول إلى الحاوية:

    docker exec -it <Container Name> bash

  2. تحقق من حالة مجمع السجل:

    collector_status -p

إذا كانت لديك مشكلات أثناء التوزيع، فراجع استكشاف أخطاء اكتشاف السحابة وإصلاحها.

اختياري - إنشاء تقارير مستمرة مخصصة

تحقق من تحميل السجلات إلى Defender for Cloud Apps وإنشاء التقارير. بعد التحقق، قم بإنشاء تقارير مخصصة. يمكنك إنشاء تقارير اكتشاف مخصصة استنادا إلى مجموعات المستخدمين Microsoft Entra. على سبيل المثال، إذا كنت تريد رؤية استخدام السحابة لقسم التسويق الخاص بك، فاستورد مجموعة التسويق باستخدام ميزة استيراد مجموعة المستخدمين. ثم قم بإنشاء تقرير مخصص لهذه المجموعة. يمكنك أيضا تخصيص تقرير استنادا إلى علامة عنوان IP أو نطاقات عناوين IP.

  1. في مدخل Microsoft Defender، حدد الإعدادات>Cloud Apps>Cloud Discovery>Continuous reports.

  2. حدد الزر إنشاء تقرير واملأ الحقول.

  3. ضمن عوامل التصفية ، يمكنك تصفية البيانات حسب مصدر البيانات، أو بواسطة مجموعة المستخدمين المستوردة، أو حسب علامات ونطاقات عناوين IP.

    ملاحظة

    عند تطبيق عوامل التصفية على التقارير المستمرة، سيتم تضمين التحديد، وليس استبعاده. على سبيل المثال، إذا قمت بتطبيق عامل تصفية على مجموعة مستخدمين معينة، تضمين مجموعة المستخدمين هذه فقط في التقرير.

    تقرير مستمر مخصص.

اختياري - التحقق من صحة توقيع المثبت

للتأكد من أن مثبت docker موقع من قبل Microsoft:

  1. انقر بزر الماوس الأيمن فوق الملف وحدد خصائص.

  2. حدد التواقيع الرقمية وتأكد من أن هذا التوقيع الرقمي موافق.

  3. تأكد من إدراج Microsoft Corporation كمدخل وحيد ضمن اسم الموقع.

    التوقيع الرقمي صالح.

    إذا لم يكن التوقيع الرقمي صالحا، فسيقول إن هذا التوقيع الرقمي غير صحيح:

    التوقيع الرقمي غير صحيح.

الخطوات التالية

تعديل تكوين FTP لجامع السجل

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.