Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez
A naplógyűjtők segítségével egyszerűen automatizálhatja a naplófeltöltést a hálózatról. A naplógyűjtő a hálózaton fut, és syslogon vagy FTP-n keresztül fogadja a naplókat. A rendszer minden naplót automatikusan feldolgoz, tömörít és továbbít a portálra. Az FTP-naplók Microsoft Defender for Cloud Apps lesznek feltöltve, miután a fájl befejezte az FTP-átvitelt a naplógyűjtőbe. A Syslog esetében a naplógyűjtő a kapott naplókat a lemezre írja. Ezután a gyűjtő feltölti a fájlt Defender for Cloud Apps, ha a fájl mérete nagyobb, mint 40 KB.
Miután feltöltött egy naplót Defender for Cloud Apps, a rendszer áthelyezi azt egy biztonsági mentési könyvtárba. A biztonsági mentési könyvtár az utolsó 20 naplót tárolja. Amikor új naplók érkeznek, a régiek törlődnek. Ha a naplógyűjtő lemezterülete megtelt, a naplógyűjtő mindaddig elveti az új naplókat, amíg több szabad lemezterület nem áll rendelkezésre (ez nem történhet meg, ha az előfeltételek megfelelően teljesülnek). Ekkor a Naplók feltöltése automatikusan beállítások Naplógyűjtők lapján figyelmeztetés jelenik meg.
Az automatikus naplófájlgyűjtés beállítása előtt ellenőrizze, hogy a napló megfelel-e a várt naplótípusnak. Győződjön meg arról, hogy Defender for Cloud Apps elemezni tudja az adott fájlt. További információ: Forgalmi naplók használata felhőfelderítéshez.
Megjegyzés:
- Defender for Cloud Apps támogatja a naplók továbbítását az SIEM-kiszolgálóról a Naplógyűjtőbe, feltéve, hogy a naplók továbbítása az eredeti formátumban történik. Erősen ajánlott azonban a naplógyűjtőt közvetlenül integrálni a tűzfallal és/vagy proxyval.
- A naplógyűjtő a feltöltés előtt tömöríti az adatokat. A naplógyűjtő kimenő forgalma a kapott forgalmi naplók méretének 10%-a lesz.
- Ha a naplógyűjtő problémákat tapasztal, riasztást fog kapni, miután az adatok 48 órán keresztül nem érkeztek meg.
Előfeltételek
- Lemezterület 250 GB
- PROCESSZORmagok: 2
- CPU-architektúra: Intel® 64 és AMD 64
- RAM: 4 GB
- Állítsa be a tűzfalat a Hálózati követelmények szakaszban leírtak szerint
Megjegyzés:
Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:
docker stop <collector_name>
docker rm <collector_name>
Megjegyzés:
Új naplógyűjtő-verzió telepítéséhez le kell állítania a naplógyűjtőt, el kell távolítania az aktuális lemezképet, és telepítenie kell az újat.
Naplógyűjtő teljesítménye
A naplógyűjtő óránként legfeljebb 50 GB naplókapacitást képes kezelni. A naplógyűjtési folyamat fő szűk keresztmetszetei a következők:
- Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
- A virtuális gép I/O-teljesítménye – Meghatározza a naplók naplógyűjtő lemezre való írásának sebességét. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely figyeli a naplók beérkezési sebességét, és összehasonlítja azt a feltöltési sebességgel. Torlódás esetén a naplógyűjtő elkezdi eldobni a naplófájlokat. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.
Kapcsolódó tartalom
A naplógyűjtő támogatja a tároló üzembehelyezési módját. További információ:
- Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren
- Automatikus naplófeltöltés konfigurálása a Podman használatával
- Automatikus naplófeltöltés konfigurálása a Docker használatával az Azure-ban
- Automatikus naplófeltöltés konfigurálása a Docker használatával Azure Kubernetes Service (AKS)