Aracılığıyla paylaş

Windows'da şirket içi Docker kullanarak otomatik günlük yüklemeyi yapılandırma

  • Makale

Windows'da Docker kullanarak Defender for Cloud Apps'da sürekli raporlar için otomatik günlük yüklemeyi yapılandırabilirsiniz.

Önkoşullar

  • Mimari belirtimleri:

    Şartname Açıklama
    İşletim sistemi Aşağıdakilerden biri:
  • Windows 10 (Fall creators update)
  • Windows Server sürüm 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Disk alanı 250 GB
    CPU çekirdekleri 2
    CPU mimarisi Intel 64 ve AMD 64
    KOÇ 4 GB

    Desteklenen Docker mimarilerinin listesi için docker yükleme belgelerine bakın.

  • Güvenlik duvarınızı gerektiği gibi ayarlayın. Daha fazla bilgi için bkz. Ağ gereksinimleri.

  • İşletim sistemindeki sanallaştırma Hyper-V ile etkinleştirilmelidir.

Önemli

  • 250'den fazla kullanıcısı veya yıllık geliri 10 milyon ABD dolarından fazla olan kurumsal müşteriler, Windows için Docker Desktop'ı kullanmak için ücretli bir abonelik gerektirir. Daha fazla bilgi için bkz. Docker aboneliğine genel bakış.
  • Docker'ın günlükleri toplaması için kullanıcının oturum açması gerekir. Docker kullanıcılarınızın oturumu kapatmadan bağlantısını kesmelerini öneririz.
  • Windows için Docker, VMWare sanallaştırma senaryolarında resmi olarak desteklenmez.
  • Windows için Docker, iç içe sanallaştırma senaryolarında resmi olarak desteklenmez. İç içe sanallaştırmayı hala kullanmayı planlıyorsanız Docker'ın resmi kılavuzuna bakın.
  • Windows için Docker'a yönelik ek yapılandırma ve uygulama konuları hakkında bilgi için bkz. Docker Desktop'ı Windows'a yükleme.

Mevcut günlük toplayıcısını kaldırma

Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:

docker stop <collector_name>
docker rm <collector_name>

Günlük toplayıcı performansı

Günlük toplayıcısı, saatte 50 GB'a kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işlemindeki ana performans sorunları şunlardır:

  • Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.

  • Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcı, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizmasına sahiptir. Tıkanıklık durumunda, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşarsa trafiği birden çok günlük toplayıcısı arasında bölmeniz önerilir.

1. Adım – Web portalı yapılandırması

Veri kaynaklarınızı tanımlamak ve bunları bir günlük toplayıcıya bağlamak için aşağıdaki adımları kullanın. Tek bir günlük toplayıcı birden çok veri kaynağını işleyebilir.

  1. Microsoft Defender portalında Ayarlar>Cloud Apps>Cloud Discovery>Otomatik günlük karşıya yükleme>Veri kaynakları sekmesini seçin.

  2. Günlükleri karşıya yüklemek istediğiniz her güvenlik duvarı veya ara sunucu için eşleşen bir veri kaynağı oluşturun:

    1. +Veri kaynağı ekle'yi seçin.

      Veri kaynağı ekle düğmesinin ekran görüntüsü.

    2. Ara sunucunuzu veya güvenlik duvarınızı adlandırabilirsiniz.

      Veri kaynağı ekle iletişim kutusunun ekran görüntüsü

    3. Kaynak listesinden aleti seçin. Listelenmeyen bir ağ gereci ile çalışmak için Özel günlük biçimi'ni seçerseniz yapılandırma yönergeleri için bkz. Özel günlük ayrıştırıcısıyla çalışma .

    4. Günlüğünüzü beklenen günlük biçiminin örneğiyle karşılaştırın. Günlük dosyası biçiminiz bu örnekle eşleşmiyorsa veri kaynağınızı Diğer olarak eklemelisiniz.

    5. Alıcı türünüFTP,FTPS, Syslog – UDP veya Syslog – TCP ya da Syslog – TLS olarak ayarlayın.

      Not

      Güvenli aktarım protokolleriyle tümleştirme (FTPS ve Syslog – TLS) genellikle güvenlik duvarınız/proxy'niz için ek ayarlar gerektirir.

    6. Günlükleri ağınızdaki trafiği algılamak için kullanılabilen her güvenlik duvarı ve ara sunucu için bu işlemi yineleyin. Aşağıdakiler için ağ cihazı başına ayrılmış bir veri kaynağı ayarlamanızı öneririz:

      • Araştırma amacıyla her cihazın durumunu ayrı ayrı izleyin.
      • Her cihaz farklı bir kullanıcı kesimi tarafından kullanılıyorsa cihaz başına Gölge BT Bulma'yı keşfedin.

  3. Sayfanın üst kısmında Günlük toplayıcıları sekmesini ve ardından Günlük toplayıcı ekle'yi seçin.

  4. Günlük toplayıcı oluştur iletişim kutusunda:

    1. Ad alanına günlük toplayıcınız için anlamlı bir ad girin.

    2. Günlük toplayıcısına bir ad verin ve Docker'ı dağıtmak için kullanacağınız makinenin Ana Bilgisayar IP adresini (özel IP adresi) girin. Ana bilgisayar adını çözümleyecek bir DNS sunucusu (veya eşdeğeri) varsa, ana bilgisayar IP adresi makine adıyla değiştirilebilir.

    3. Toplayıcıya bağlanmak istediğiniz tüm Veri kaynaklarını seçin ve yapılandırmayı kaydetmek için Güncelleştir'i seçin.

      Daha sonra toplayıcı yapılandırmasını içeri aktarmak için kullanacağınız bir komut da dahil olmak üzere Sonraki adımlar bölümünde daha fazla dağıtım bilgisi görüntülenir. Syslog'ı seçtiyseniz, bu bilgiler Syslog dinleyicisinin dinlediği bağlantı noktasıyla ilgili verileri de içerir.

    4. Panoya kopyala simgesini kullanın. Komutu panoya kopyalamak ve ayrı bir konuma kaydetmek için Kopyala düğmesi.

    5. Beklenen veri kaynağı yapılandırmasını dışarı aktarmak için Dışarı Aktar düğmesini kullanın. Bu yapılandırma, cihazlarınızda günlük dışarı aktarmayı nasıl ayarlamanız gerektiğini açıklar.

FTP aracılığıyla günlük verilerini ilk kez gönderen kullanıcılar için FTP kullanıcısının parolasını değiştirmenizi öneririz. Daha fazla bilgi için bkz. FTP parolasını değiştirme.

2. Adım – Makinenizin şirket içi dağıtımı

Aşağıdaki adımlarda Windows'ta dağıtım açıklanmaktadır. Diğer platformlar için dağıtım adımları biraz farklıdır.

  1. Windows makinenizde bir PowerShell terminalini yönetici olarak açın.

  2. Windows Docker yükleyicisi PowerShell betik dosyasını indirmek için aşağıdaki komutu çalıştırın:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Yükleyicinin Microsoft tarafından imzalandığını doğrulamak için bkz. Yükleyici imzasını doğrulama.

  3. PowerShell betiği yürütmeyi etkinleştirmek için şunu çalıştırın:

    Set-ExecutionPolicy RemoteSigned`

  4. Docker istemcisini makinenize yüklemek için şunu çalıştırın:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Komutu çalıştırdıktan sonra makine otomatik olarak yeniden başlatılır.

  5. Makine çalışır durumdayken aynı komutu yeniden çalıştırın:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Docker yükleyicisini çalıştırarak Hyper-V yerine WSL 2 kullanmayı seçin.

    Yükleme tamamlandıktan sonra makine otomatik olarak yeniden başlatılır.

  7. Yeniden başlatma tamamlandıktan sonra Docker istemcisini açın ve Docker abonelik sözleşmesini kabul edin.

  8. WSL2 yüklemesi tamamlanmazsa, WSL 2 Linux çekirdeğinin ayrı bir MSI güncelleştirme paketi kullanılarak yüklendiğini belirten bir ileti gösterilir.

  9. Paketi indirerek yüklemeyi tamamlayın. Daha fazla bilgi için bkz . Linux çekirdek güncelleştirme paketini indirme.

  10. Docker Desktop istemcisini yeniden açın ve başlatıldığından emin olun.

  11. Yönetici olarak bir komut istemi açın ve portaldan daha önce kopyaladığınız çalıştır komutunu 1. Adım – Web portalı yapılandırmasına girin.

    Bir ara sunucu yapılandırmanız gerekiyorsa ara sunucu IP adresini ve bağlantı noktası numarasını ekleyin. Örneğin, proxy ayrıntılarınız 172.31.255.255:8080 ise, güncelleştirilmiş çalıştırma komutunuz şudur:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Toplayıcının düzgün çalıştığını doğrulamak için şunu çalıştırın:

    docker logs <collector_name>

    Şu iletiyi görmeniz gerekir: Başarıyla tamamlandı! Mesela:

    Toplayıcının düzgün çalıştığı komutun ekran görüntüsü.

3. Adım - Ağ gereçlerinizin şirket içi yapılandırması

Ağ güvenlik duvarlarınızı ve proxy'lerinizi, günlükleri iletişim kutusundaki yönergelere göre düzenli aralıklarla FTP dizininin ayrılmış Syslog bağlantı noktasına aktaracak şekilde yapılandırın. Örneğin:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. Adım - Portalda başarılı dağıtımı doğrulama

Günlük toplayıcı tablosunda toplayıcı durumunu denetleyin ve durumun Bağlı olduğundan emin olun. Oluşturulduysa, günlük toplayıcı bağlantısı ve ayrıştırma tamamlanmamış olabilir.

Toplayıcı durumunun Bağlı olduğunu doğrulayın.

Ayrıca İdare günlüğüne gidebilir ve günlüklerin düzenli aralıklarla portala yüklendiğini doğrulayabilirsiniz.

Alternatif olarak, aşağıdaki komutları kullanarak günlük toplayıcı durumunu docker kapsayıcısının içinden de kontrol edebilirsiniz:

  1. Kapsayıcıda oturum açın:

    docker exec -it <Container Name> bash

  2. Günlük toplayıcı durumunu doğrulayın:

    collector_status -p

Dağıtım sırasında sorun yaşıyorsanız bkz. Bulut bulma sorunlarını giderme.

İsteğe bağlı - Özel sürekli raporlar oluşturma

Günlüklerin Defender for Cloud Apps yüklendiğini ve raporların oluşturulduğunu doğrulayın. Doğrulamadan sonra özel raporlar oluşturun. Microsoft Entra kullanıcı gruplarını temel alan özel bulma raporları oluşturabilirsiniz. Örneğin, pazarlama departmanınızın bulut kullanımını görmek istiyorsanız, içeri aktarma kullanıcı grubu özelliğini kullanarak pazarlama grubunu içeri aktarın. Ardından bu grup için özel bir rapor oluşturun. Ayrıca bir raporu IP adresi etiketine veya IP adresi aralıklarına göre özelleştirebilirsiniz.

  1. Microsoft Defender portalında Ayarlar>Cloud Apps>Cloud Discovery>Sürekli raporlar'ı seçin.

  2. Rapor oluştur düğmesini seçin ve alanları doldurun.

  3. Filtreler'in altında verileri veri kaynağına, içeri aktarılan kullanıcı grubuna veya IP adresi etiketlerine ve aralıklarına göre filtreleyebilirsiniz.

    Not

    Sürekli raporlara filtre uygulanırken, seçim dahil edilir, dışlanmaz. Örneğin, belirli bir kullanıcı grubuna filtre uygularsanız rapora yalnızca o kullanıcı grubu eklenir.

    Özel sürekli rapor.

İsteğe bağlı - Yükleyici imzasını doğrulama

Docker yükleyicisinin Microsoft tarafından imzalandığından emin olmak için:

  1. Dosyaya sağ tıklayın ve Özellikler'i seçin.

  2. Dijital İmzalar'ı seçin ve Bu dijital imzanın tamam olduğundan emin olun.

  3. Microsoft Corporation'ınimzalayanın adı altında tek girdi olarak listelendiğinden emin olun.

    Dijital imza geçerli.

    Dijital imza geçerli değilse , Bu dijital imza geçerli değil diyebiliriz:

    Dijital imza geçerli değil.

Sonraki adımlar

Günlük toplayıcı FTP yapılandırmasını değiştirme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.