Automatikus naplófeltöltés konfigurálása a Podman használatával
Megjegyzés:
Microsoft Defender for Cloud Apps mostantól a Microsoft Defender XDR része, amely korrelálja a Microsoft Defender csomagból érkező jeleket, és incidensszintű észlelési, vizsgálati és hatékony reagálási képességeket biztosít. További információt a Microsoft Defender XDR Microsoft Defender for Cloud Apps című témakörben talál.
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps egy Podman-tároló használatával Linuxon egy helyszíni kiszolgálón. Az RHEL 7.1 vagy újabb verziót használó ügyfeleknek a Podmant kell használniuk az automatikus naplógyűjtéshez.
Előfeltételek
Mielőtt belevágna:
- Győződjön meg arról, hogy RHEL 7.1-gyel vagy újabb verzióval rendelkező tárolót használ.
- Mivel a Docker és a Podman nem tud együtt létezni ugyanazon a gépen, a Podman futtatása előtt mindenképpen távolítsa el a Docker-telepítéseket.
- Győződjön meg arról, hogy felhasználóként
root
jelentkezett be az RHEL-gépre a Podman üzembe helyezéséhez
Beállítás és konfiguráció
Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
Győződjön meg arról, hogy van definiálva adatforrás az Adatforrások lapon. Ha nem, válassza az Adatforrás hozzáadása lehetőséget az adatforrás hozzáadásához.
Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.
Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:
Mező Leírás Név Adjon meg egy kifejező nevet a naplógyűjtő által használt fő információk, például a belső elnevezési szabvány vagy a hely helye alapján. Gazdagép IP-címe vagy teljes tartománynév Adja meg a naplógyűjtő gazdagépét vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez. Adatforrás(ok) Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan elküldhesse az adatokat.
Az alábbi lista például adatforrás- és portkombinációkat mutat be:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Válassza a Létrehozás lehetőséget, hogy további utasításokat jelenítsen meg a képernyőn az adott helyzethez.
Másolja ki a megjelenő parancsot, és szükség szerint módosítsa a használt tárolószolgáltatás alapján. Például:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Futtassa a módosított parancsot a gépen a tároló üzembe helyezéséhez. Sikeres művelet esetén a naplók azt mutatják, hogy lekért egy rendszerképet mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.
Ha a tároló teljesen üzembe lett helyezve, ellenőrizze, hogy működik-e. Ehhez ellenőrizze a containerization szolgáltatással:
podman ps
Megjegyzés:
A Podman-tárolók nem indulnak el automatikusan a gazdakiszolgáló újraindításakor. A Podman-gazdagép újraindításához újra kell indítania a tárolót is.
Hibaelhárítás
Ha nem kap tűzfalnaplókat a Podman-tárolóból, ellenőrizze a következőket:
Győződjön meg arról, hogy az rsyslog elfordul a naplógyűjtőn.
Ha módosításokat végzett, várjon néhány órát, és futtassa a következő parancsot, hogy lássa, változott-e valami:
podman logs <container name>
ahol
<container name>
a használt tároló neve.Ha a naplók továbbra sem lesznek elküldve, győződjön meg arról, hogy a tároló üzembe helyezése a
--privileged
jelzővel történik. Ha még nem telepítette a tárolót a--privileged
jelzővel, a tároló nem gyűjti össze a feltöltött fájlokat a gazdagépre.
Kapcsolódó tartalom
További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.