Megosztás a következőn keresztül:


Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

A naplógyűjtők segítségével egyszerűen automatizálhatja a naplófeltöltést a hálózatról. A naplógyűjtő a hálózaton fut, és syslogon vagy FTP-n keresztül fogadja a naplókat. A rendszer minden naplót automatikusan feldolgoz, tömörít és továbbít a portálra. Az FTP-naplók Microsoft Defender for Cloud Apps lesznek feltöltve, miután a fájl befejezte az FTP-átvitelt a naplógyűjtőbe. A Syslog esetében a naplógyűjtő a kapott naplókat a lemezre írja. Ezután a gyűjtő feltölti a fájlt Defender for Cloud Apps, ha a fájl mérete nagyobb, mint 40 KB.

Miután feltöltött egy naplót Defender for Cloud Apps, a rendszer áthelyezi azt egy biztonsági mentési könyvtárba. A biztonsági mentési könyvtár az utolsó 20 naplót tárolja. Amikor új naplók érkeznek, a régiek törlődnek. Ha a naplógyűjtő lemezterülete megtelt, a naplógyűjtő mindaddig elveti az új naplókat, amíg több szabad lemezterület nem áll rendelkezésre (ez nem történhet meg, ha az előfeltételek megfelelően teljesülnek). Ekkor a Naplók feltöltése automatikusan beállítások Naplógyűjtők lapján figyelmeztetés jelenik meg.

Az automatikus naplófájlgyűjtés beállítása előtt ellenőrizze, hogy a napló megfelel-e a várt naplótípusnak. Győződjön meg arról, hogy Defender for Cloud Apps elemezni tudja az adott fájlt. További információ: Forgalmi naplók használata felhőfelderítéshez.

Megjegyzés:

  • Defender for Cloud Apps támogatja a naplók továbbítását az SIEM-kiszolgálóról a Naplógyűjtőbe, feltéve, hogy a naplók továbbítása az eredeti formátumban történik. Erősen ajánlott azonban a naplógyűjtőt közvetlenül integrálni a tűzfallal és/vagy proxyval.
  • A naplógyűjtő a feltöltés előtt tömöríti az adatokat. A naplógyűjtő kimenő forgalma a kapott forgalmi naplók méretének 10%-a lesz.
  • Ha a naplógyűjtő problémákat tapasztal, riasztást fog kapni, miután az adatok 48 órán keresztül nem érkeztek meg.

Előfeltételek

  • Lemezterület 250 GB
  • PROCESSZORmagok: 2
  • CPU-architektúra: Intel® 64 és AMD 64
  • RAM: 4 GB
  • Állítsa be a tűzfalat a Hálózati követelmények szakaszban leírtak szerint

Megjegyzés:

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>

docker rm <collector_name>

Megjegyzés:

Új naplógyűjtő-verzió telepítéséhez le kell állítania a naplógyűjtőt, el kell távolítania az aktuális lemezképet, és telepítenie kell az újat.

Naplógyűjtő teljesítménye

A naplógyűjtő óránként legfeljebb 50 GB naplókapacitást képes kezelni. A naplógyűjtési folyamat fő szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
  • A virtuális gép I/O-teljesítménye – Meghatározza a naplók naplógyűjtő lemezre való írásának sebességét. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely figyeli a naplók beérkezési sebességét, és összehasonlítja azt a feltöltési sebességgel. Torlódás esetén a naplógyűjtő elkezdi eldobni a naplófájlokat. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

A naplógyűjtő támogatja a tároló üzembehelyezési módját. További információ:

Következő lépések