مشاركة عبر

تكوين تحميل السجل التلقائي باستخدام Podman

  • مقالة

ملاحظة

Microsoft Defender for Cloud Apps هو الآن جزء من Microsoft Defender XDR، والذي يربط الإشارات من جميع أنحاء مجموعة Microsoft Defender ويوفر قدرات الكشف والتحقيق والاستجابة القوية على مستوى الحدث. لمزيد من المعلومات، راجع Microsoft Defender for Cloud Apps في Microsoft Defender XDR.

توضح هذه المقالة كيفية تكوين تحميل السجل التلقائي للتقارير المستمرة في Defender for Cloud Apps باستخدام حاوية Podman على Linux في خادم محلي. يجب على العملاء الذين يستخدمون RHEL 7.1 أو أعلى استخدام Podman لجمع السجل التلقائي.

المتطلبات الأساسية

قبل البدء:

  • تأكد من أنك تستخدم حاوية مع RHEL 7.1 وأعلى.
  • نظرا لأن Docker وPodman لا يمكن أن يتعايشا على نفس الجهاز، فتأكد من إلغاء تثبيت أي عمليات تثبيت Docker قبل تشغيل Podman.
  • تأكد من تسجيل الدخول إلى جهاز RHEL كمستخدم root لنشر Podman

الإعداد والتكوين

  1. سجل الدخول إلى Microsoft Defender XDR وحدد الإعدادات > Cloud Apps > Cloud Discovery > Automatic log upload.

  2. تأكد من أن لديك مصدر بيانات محددا في علامة التبويب مصادر البيانات . إذا لم تفعل ذلك، فحدد إضافة مصدر بيانات لإضافة مصدر بيانات.

  3. حدد علامة التبويب Log collectors ، التي تسرد جميع مجمعات السجلات المنشورة على المستأجر الخاص بك.

  4. حدد الارتباط Add log collector . بعد ذلك، في مربع الحوار Create log collector أدخل:

    ميدان الوصف
    الاسم أدخل اسما ذا معنى، استنادا إلى المعلومات الرئيسية التي يستخدمها مجمع السجل، مثل معيار التسمية الداخلي أو موقع الموقع.
    عنوان IP المضيف أو FQDN أدخل عنوان IP للجهاز المضيف أو الجهاز الظاهري (VM) الخاص بمجمع السجلات. تأكد من أن خدمة syslog أو جدار الحماية الخاص بك يمكنه الوصول إلى عنوان IP / FQDN الذي تدخله.
    مصدر (مصادر) البيانات حدد مصدر البيانات الذي تريد استخدامه. إذا كنت تستخدم مصادر بيانات متعددة، يتم تطبيق المصدر المحدد على منفذ منفصل بحيث يمكن لجامع السجل الاستمرار في إرسال البيانات باستمرار.

    على سبيل المثال، تعرض القائمة التالية أمثلة على مجموعات مصدر البيانات والمنفذ:
    - بالو ألتو: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. حدد إنشاء لإظهار المزيد من الإرشادات على الشاشة لموقفك المحدد.

  6. انسخ الأمر المعروض وقم بتعديله حسب الحاجة استنادا إلى خدمة الحاوية التي تستخدمها. على سبيل المثال:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. قم بتشغيل الأمر المعدل على جهازك لنشر الحاوية. عند النجاح، تظهر السجلات سحب صورة من mcr.microsoft.com والاستمرار في إنشاء كائنات ثنائية كبيرة الحجم للحاوية.

  8. عند نشر الحاوية بالكامل، تحقق من أنها تعمل عن طريق التحقق من خدمة التعبئة في حاويات:

    podman ps

ملاحظة

لا تبدأ حاويات Podman تلقائيا عند إعادة تشغيل الخادم المضيف. تتطلب إعادة تشغيل جهاز مضيف Podman بدء تشغيل الحاوية مرة أخرى أيضا.

استكشاف الأخطاء وإصلاحها

إذا كنت لا تحصل على سجلات جدار الحماية من حاوية Podman، فتحقق مما يلي:

  1. تأكد من تدوير rsyslog على جامع السجل.

  2. إذا قمت بإجراء تغييرات، فانتظر بضع ساعات وقم بتشغيل الأمر التالي لمعرفة ما إذا تم تغيير أي شيء:

    podman logs <container name>

    حيث <container name> هو اسم الحاوية التي تستخدمها.

  3. إذا لم يتم إرسال السجلات بعد، فتأكد من نشر الحاوية باستخدام العلامة --privileged . إذا لم تقم بنشر الحاوية الخاصة بك مع العلامة --privileged ، فلن تجمع الحاوية الملفات التي تم تحميلها إلى الجهاز المضيف.

المحتويات ذات الصلة

لمزيد من المعلومات، راجع تكوين التحميل التلقائي للسجل للتقارير المستمرة.