Sürekli raporlar için otomatik günlük yüklemeyi yapılandırma
Günlük toplayıcıları, ağınızdan günlük yüklemeyi kolayca otomatikleştirmenizi sağlar. Günlük toplayıcı ağınızda çalışır ve syslog veya FTP üzerinden günlükleri alır. Her günlük otomatik olarak işlenir, sıkıştırılır ve portala iletilir. FTP günlükleri, dosya Günlük Toplayıcısı'na FTP aktarımı tamamlandıktan sonra Microsoft Defender for Cloud Apps yüklenir. Syslog için Günlük Toplayıcısı alınan günlükleri diske yazar. Ardından toplayıcı, dosya boyutu 40 KB'tan büyük olduğunda dosyayı Defender for Cloud Apps'a yükler.
Bir günlük Defender for Cloud Apps yüklendikten sonra bir yedekleme dizinine taşınır. Yedekleme dizini son 20 günlüğü depolar. Yeni günlükler geldiğinde eski günlükler silinir. Günlük toplayıcısı disk alanı her dolsa, günlük toplayıcısı daha fazla boş disk alanı olana kadar yeni günlükleri bırakır (önkoşullar düzgün karşılandığında bu gerçekleşmemelidir). Bu durum oluştuğunda Günlükleri otomatik olarak karşıya yükleme ayarlarının Günlük toplayıcıları sekmesinde bir uyarı alırsınız.
Otomatik günlük dosyası koleksiyonunu ayarlamadan önce, günlüğünüzün beklenen günlük türüyle eşleşip eşleşmedığını doğrulayın. Defender for Cloud Apps dosyanızı ayrıştırabildiğinizden emin olmak istiyorsunuz. Daha fazla bilgi için bkz. Bulut bulma için trafik günlüklerini kullanma.
Not
- Defender for Cloud Apps, günlüklerin özgün biçimlerinde iletildiği varsayılarak günlüklerin SIEM sunucunuzdan Günlük Toplayıcısı'na iletilmesi için destek sağlar. Ancak, günlük toplayıcıyı doğrudan güvenlik duvarınız ve/veya ara sunucunuzla tümleştirmeniz kesinlikle önerilir.
- Günlük toplayıcı, karşıya yüklenmeden önce verileri sıkıştırır. Günlük toplayıcıdaki giden trafik, aldığı trafik günlüklerinin boyutunun %10'u olur.
- Günlük toplayıcısı sorunlarla karşılaşırsa, veriler 48 saat boyunca alınmadıktan sonra bir uyarı alırsınız.
Önkoşullar
- Disk alanı 250 GB
- CPU çekirdekleri: 2
- CPU Mimarisi: Intel® 64 ve AMD 64
- RAM: 4 GB
- Güvenlik duvarınızı Ağ gereksinimleri bölümünde açıklandığı gibi ayarlayın
Not
Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:
docker stop <collector_name>
docker rm <collector_name>
Not
Yeni bir günlük toplayıcı sürümü yüklemek için günlük toplayıcınızı durdurmanız, geçerli görüntüyü kaldırmanız ve yenisini yüklemeniz gerekir.
Günlük toplayıcı performansı
Günlük toplayıcısı, saatte 50 GB'a kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işlemindeki ana performans sorunları şunlardır:
- Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.
- Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcı, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizmasına sahiptir. Tıkanıklık durumunda, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşarsa trafiği birden çok günlük toplayıcısı arasında bölmeniz önerilir.
İlgili içerik
Günlük Toplayıcı kapsayıcı dağıtım modunu destekler. Daha fazla bilgi için bkz.:
- Windows'da şirket içi Docker kullanarak otomatik günlük yüklemeyi yapılandırma
- Podman kullanarak otomatik günlük yüklemeyi yapılandırma
- Azure'da Docker kullanarak otomatik günlük yüklemeyi yapılandırma
- Azure Kubernetes Service'de (AKS) Docker kullanarak otomatik günlük yüklemeyi yapılandırma