Automatikus naplófeltöltés konfigurálása a Docker használatával Azure Kubernetes Service (AKS)
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps egy Docker-tároló használatával Azure Kubernetes Service (AKS).
Megjegyzés:
Microsoft Defender for Cloud Apps mostantól a Microsoft Defender XDR része, amely korrelálja a Microsoft Defender csomagból érkező jeleket, és incidensszintű észlelési, vizsgálati és hatékony reagálási képességeket biztosít. További információt a Microsoft Defender XDR Microsoft Defender for Cloud Apps című témakörben talál.
Beállítás és konfiguráció
Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
Győződjön meg arról, hogy van definiálva adatforrás az Adatforrások lapon. Ha nem, válassza az Adatforrás hozzáadása lehetőséget az adatforrás hozzáadásához.
Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.
Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:
Mező Leírás Név Adjon meg egy kifejező nevet a naplógyűjtő által használt fő információk, például a belső elnevezési szabvány vagy a hely helye alapján. Gazdagép IP-címe vagy teljes tartománynév Adja meg a naplógyűjtő gazdagépét vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez. Adatforrás(ok) Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan elküldhesse az adatokat.
Az alábbi lista például adatforrás- és portkombinációkat mutat be:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Válassza a Létrehozás lehetőséget, hogy további utasításokat jelenítsen meg a képernyőn az adott helyzethez.
Nyissa meg az AKS-fürt konfigurációját, és futtassa a következőt:
kubectl config use-context <name of AKS cluster>
Futtassa a helm-parancsot az alábbi szintaxissal:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
Keresse meg a helm-parancs értékeit a gyűjtő konfigurálásakor használt Docker-paranccsal. Például:
(echo <Generated ID>) | docker run --name SyslogTLStest
Sikeres művelet esetén a naplók azt mutatják, hogy lekért egy rendszerképet mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.
Kapcsolódó tartalom
További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.