Megosztás a következőn keresztül:


Automatikus naplófeltöltés konfigurálása a Docker használatával Azure Kubernetes Service (AKS)

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps egy Docker-tároló használatával Azure Kubernetes Service (AKS).

Megjegyzés:

Microsoft Defender for Cloud Apps mostantól a Microsoft Defender XDR része, amely korrelálja a Microsoft Defender csomagból érkező jeleket, és incidensszintű észlelési, vizsgálati és hatékony reagálási képességeket biztosít. További információt a Microsoft Defender XDR Microsoft Defender for Cloud Apps című témakörben talál.

Beállítás és konfiguráció

  1. Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. Győződjön meg arról, hogy van definiálva adatforrás az Adatforrások lapon. Ha nem, válassza az Adatforrás hozzáadása lehetőséget az adatforrás hozzáadásához.

  3. Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.

  4. Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:

    Mező Leírás
    Név Adjon meg egy kifejező nevet a naplógyűjtő által használt fő információk, például a belső elnevezési szabvány vagy a hely helye alapján.
    Gazdagép IP-címe vagy teljes tartománynév Adja meg a naplógyűjtő gazdagépét vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez.
    Adatforrás(ok) Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan elküldhesse az adatokat.

    Az alábbi lista például adatforrás- és portkombinációkat mutat be:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603
  5. Válassza a Létrehozás lehetőséget, hogy további utasításokat jelenítsen meg a képernyőn az adott helyzethez.

  6. Nyissa meg az AKS-fürt konfigurációját, és futtassa a következőt:

    kubectl config use-context <name of AKS cluster>
    
  7. Futtassa a helm-parancsot az alábbi szintaxissal:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
    

    Keresse meg a helm-parancs értékeit a gyűjtő konfigurálásakor használt Docker-paranccsal. Például:

    (echo <Generated ID>) | docker run --name SyslogTLStest
    

Sikeres művelet esetén a naplók azt mutatják, hogy lekért egy rendszerképet mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.

További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.