Automatikus naplófeltöltés konfigurálása a Podman használatával

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps egy Podman-tároló használatával Linuxon egy helyszíni kiszolgálón. Az RHEL 7.1 vagy újabb verziót használó ügyfeleknek a Podmant kell használniuk az automatikus naplógyűjtéshez.

Előfeltételek

Mielőtt belevágna:

• Győződjön meg arról, hogy RHEL 7.1-gyel vagy újabb verzióval rendelkező tárolót használ.
• Mivel a Docker és a Podman nem tud együtt létezni ugyanazon a gépen, a Podman futtatása előtt mindenképpen távolítsa el a Docker-telepítéseket.
• Győződjön meg arról, hogy felhasználóként root jelentkezett be az RHEL-gépre a Podman üzembe helyezéséhez

Beállítás és konfiguráció

1. Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

2. Győződjön meg arról, hogy van definiálva adatforrás az Adatforrások lapon. Ha nem, válassza az Adatforrás hozzáadása lehetőséget az adatforrás hozzáadásához.

3. Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.

4. Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:

   Mező	Leírás
   Név	Adjon meg egy kifejező nevet a naplógyűjtő által használt fő információk, például a belső elnevezési szabvány vagy a hely helye alapján.
   Gazdagép IP-címe vagy teljes tartománynév	Adja meg a naplógyűjtő gazdagépét vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez.
   Adatforrás(ok)	Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan elküldhesse az adatokat. Az alábbi lista például adatforrás- és portkombinációkat mutat be: - Palo Alto: 601 - CheckPoint: 602 - ZScaler: 603

5. Válassza a Létrehozás lehetőséget, hogy további utasításokat jelenítsen meg a képernyőn az adott helyzethez.

6. Másolja ki a megjelenő parancsot, és szükség szerint módosítsa a használt tárolószolgáltatás alapján. Például:

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. Futtassa a módosított parancsot a gépen a tároló üzembe helyezéséhez. Sikeres művelet esetén a naplók azt mutatják, hogy lekért egy rendszerképet mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.

8. Ha a tároló teljesen üzembe lett helyezve, ellenőrizze, hogy működik-e. Ehhez ellenőrizze a containerization szolgáltatással:

   podman ps
   

Hibaelhárítás

Ha nem kap tűzfalnaplókat a Podman-tárolóból, ellenőrizze a következőket:

1. Győződjön meg arról, hogy az rsyslog elfordul a naplógyűjtőn.

2. Ha módosításokat végzett, várjon néhány órát, és futtassa a következő parancsot, hogy lássa, változott-e valami:

   podman logs <container name>
   

   ahol <container name> a használt tároló neve.

3. Ha a naplók továbbra sem lesznek elküldve, győződjön meg arról, hogy a tároló üzembe helyezése a --privileged jelzővel történik. Ha még nem telepítette a tárolót a --privileged jelzővel, a tároló nem gyűjti össze a feltöltött fájlokat a gazdagépre.

Kapcsolódó tartalom

További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.