Konfigurieren des automatischen Uploads von Protokollen für kontinuierliche Berichte

Gilt für: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich. Weitere Informationen zu diesem und anderen Updates finden Sie hier. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.

Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk komfortabel automatisieren. Der Protokollsammler wird in Ihrem Netzwerk ausgeführt und empfängt Protokolle über Syslog oder FTP. Jedes Protokoll wird automatisch verarbeitet, komprimiert und an das Portal übermittelt. FTP-Protokolle werden in Microsoft Cloud App Security hochgeladen, nachdem die Datei die FTP-Übertragung an den Protokollsammler abgeschlossen hat. Der Protokollsammler schreibt für Syslog die empfangenen Protokolle auf den Datenträger. Anschließend lädt der Collector die Datei in Cloud App Security hoch, wenn die Dateigröße 40 KB überschreitet.

Nachdem ein Protokoll in Cloud App Security hochgeladen wurde, wird es in ein Sicherungsverzeichnis verschoben. Im Sicherungsverzeichnis werden die letzten 20 Protokolle gespeichert. Wenn neue Protokolle eintreffen, werden die älteren gelöscht. Sobald der Speicherplatz des Protokollsammlers voll ist, löscht der Protokollsammler neue Protokolle, bis wieder ausreichend Speicherplatz verfügbar ist. Wenn dies passiert, erhalten Sie eine Warnung auf der Registerkarte Protokollsammler in den Einstellungen Protokolle automatisch hochladen.

Überprüfen Sie, ob Ihr Protokoll dem erwarteten Protokolltyp entspricht, bevor Sie die automatische Protokolldateisammlung einrichten. Stellen Sie sicher, dass Cloud App Security Ihre bestimmte Datei analysieren kann. Weitere Informationen finden Sie unter Verwenden von Datenverkehrsprotokollen für Cloud Discovery.

Hinweis

  • Cloud App Security bietet Unterstützung für das Weiterleiten von Protokollen von Ihrem SIEM-Server an den Protokollsammler, vorausgesetzt die Protokolle werden in Ihrem ursprünglichen Format weitergeleitet. Es wird allerdings dringend empfohlen, den Protokollsammler direkt in Ihre Firewall bzw. Ihren Proxy zu integrieren.
  • Der Protokollsammler komprimiert Daten, bevor sie hochgeladen werden. Der ausgehende Datenverkehr im Protokollsammler beträgt 10% der Größe des empfangenen Datenverkehrsprotokolle.
  • Wenn beim Protokollsammler Probleme auftreten, erhalten Sie eine Warnung, wenn die Daten nach 48 Stunden noch nicht empfangen wurden.

Bereitstellungsmodi

Der Log Collector unterstützt den Containerbereitstellungsmodus. Es wird als Docker-Image unter Windows, Ubuntu lokal, Ubuntu in Azure, RHEL lokal oder CentOS ausgeführt.

Nächste Schritte