Megosztás a következőn keresztül:


Automatikus naplófeltöltés konfigurálása a Podman használatával

Megjegyzés:

Microsoft Defender for Cloud Apps mostantól a Microsoft Defender XDR része, amely korrelálja a Microsoft Defender csomagból érkező jeleket, és incidensszintű észlelési, vizsgálati és hatékony reagálási képességeket biztosít. További információt a Microsoft Defender XDR Microsoft Defender for Cloud Apps című témakörben talál.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps egy Podman-tároló használatával Linuxon egy helyszíni kiszolgálón. Az RHEL 7.1 vagy újabb verziót használó ügyfeleknek a Podmant kell használniuk az automatikus naplógyűjtéshez.

Előfeltételek

Mielőtt belevágna:

  • Győződjön meg arról, hogy RHEL 7.1-gyel vagy újabb verzióval rendelkező tárolót használ.
  • Mivel a Docker és a Podman nem tud együtt létezni ugyanazon a gépen, a Podman futtatása előtt mindenképpen távolítsa el a Docker-telepítéseket.
  • Győződjön meg arról, hogy felhasználóként root jelentkezett be az RHEL-gépre a Podman üzembe helyezéséhez

Beállítás és konfiguráció

  1. Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. Győződjön meg arról, hogy van definiálva adatforrás az Adatforrások lapon. Ha nem, válassza az Adatforrás hozzáadása lehetőséget az adatforrás hozzáadásához.

  3. Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.

  4. Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:

    Mező Leírás
    Név Adjon meg egy kifejező nevet a naplógyűjtő által használt fő információk, például a belső elnevezési szabvány vagy a hely helye alapján.
    Gazdagép IP-címe vagy teljes tartománynév Adja meg a naplógyűjtő gazdagépét vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez.
    Adatforrás(ok) Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan elküldhesse az adatokat.

    Az alábbi lista például adatforrás- és portkombinációkat mutat be:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603
  5. Válassza a Létrehozás lehetőséget, hogy további utasításokat jelenítsen meg a képernyőn az adott helyzethez.

  6. Másolja ki a megjelenő parancsot, és szükség szerint módosítsa a használt tárolószolgáltatás alapján. Például:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
    
  7. Futtassa a módosított parancsot a gépen a tároló üzembe helyezéséhez. Sikeres művelet esetén a naplók azt mutatják, hogy lekért egy rendszerképet mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.

  8. Ha a tároló teljesen üzembe lett helyezve, ellenőrizze, hogy működik-e. Ehhez ellenőrizze a containerization szolgáltatással:

    podman ps
    

Megjegyzés:

A Podman-tárolók nem indulnak el automatikusan a gazdakiszolgáló újraindításakor. A Podman-gazdagép újraindításához újra kell indítania a tárolót is.

Hibaelhárítás

Ha nem kap tűzfalnaplókat a Podman-tárolóból, ellenőrizze a következőket:

  1. Győződjön meg arról, hogy az rsyslog elfordul a naplógyűjtőn.

  2. Ha módosításokat végzett, várjon néhány órát, és futtassa a következő parancsot, hogy lássa, változott-e valami:

    podman logs <container name>
    

    ahol <container name> a használt tároló neve.

  3. Ha a naplók továbbra sem lesznek elküldve, győződjön meg arról, hogy a tároló üzembe helyezése a --privileged jelzővel történik. Ha még nem telepítette a tárolót a --privileged jelzővel, a tároló nem gyűjti össze a feltöltött fájlokat a gazdagépre.

További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.