Configuración de la carga de registros automática para informes continuos en una aplicación virtual: en desusoConfigure automatic log upload for continuous reports on a virtual appliance - Deprecated

Advertencia

Es muy recomendable configurar la carga de registros mediante Docker para una implementación más flexible.It is highly recommended to configure log upload using the Docker for more flexible deployment.

Requisitos técnicosTechnical requirements

  • Hipervisor: Hyper-V o VMwareHypervisor: HyperV or VMware
  • Espacio en disco: 250 GBDisk space: 250 GB
  • CPU: 2CPU: 2
  • RAM: 4 GBRAM: 4 GB
  • Configuración del firewall, tal como se describe en Requisitos de redSet your firewall as described in Network requirements

Rendimiento del recopilador de registrosLog collector performance

El recopilador de registros puede manejar correctamente una capacidad de registros de hasta 50 GB por hora.The Log collector can successfully handle log capacity of up to 50 GB per hour. Los principales cuellos de botella del proceso de recopilación de registros son:The main bottlenecks in the log collection process are:

  • Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.Network bandwidth - your network bandwidth determines the log upload speed.
  • Rendimiento de E/S de la máquina virtual asignada por TI: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros.I/O performance of the virtual machine allocated by your IT - determines the speed at which logs are written to the log collector’s disk. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro.In cases of congestion, the log collector starts to drop log files. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.If your setup generally exceeds 50 GB per hour, it is recommended to split the traffic between multiple log collectors.

Establecimiento y configuraciónSet up and configuration

  1. Vaya a la página de configuración de carga automatizada:Go to the automated upload setting page:
    En el portal de Cloud App Security, haga clic en el icono de configuración icono de configuración y, después, en Recopiladores de registros.In the Cloud App Security portal, click the settings icon settings icon, followed by Log collectors.

  2. Cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros:For each firewall or proxy from which you want to upload logs, create a matching data source:

    a.a. Haga clic en Agregar origen de datos.Click Add data source.

    b.b. Ponga nombre al servidor proxy o firewall.Name your proxy or firewall.

    c.c. Seleccione el dispositivo en la lista Origen.Select the appliance from the Source list. Si selecciona Formato de los registros personalizados para trabajar con un dispositivo de red que no aparezca en la lista, consulte el artículo sobre cómo trabajar con el analizador de registro personalizado para ver las instrucciones de configuración.If you select Custom log format to work with a network appliance that is not listed, see Working with the custom log parser for configuration instructions.

    d.d. Compare el registro con el ejemplo del formato de registro esperado.Compare your log with the sample of the expected log format. Si el formato del archivo de registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.If your log file format does not match this sample, you should add your data source as Other.

    e.e. Establezca el valor de Tipo de receptor en FTP o Syslog.Set the Receiver type to either FTP or Syslog. Para Syslog, seleccione UDP o TCP.For Syslog, choose UDP or TCP.

    f.f. Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. Vaya a la pestaña Recopiladores de registros de la parte superior.Go to the Log collectors tab at the top.

    a.a. Haga clic en Agregar recopilador de registros.Click Add log collector.

    b.b. Ponga nombre al recopilador de registros.Give the log collector a name.

    c.c. Seleccione todos los orígenes de datos que desea conectar al recopilador y haga clic en Actualizar para guardar la configuración y generar un token de acceso.Select all Data sources that you want to connect to the collector, and click Update to save the configuration and generate an access token.
    orígenes de datos de deteccióndiscovery data sources

    Nota

    • Un único recopilador de registros puede administrar varios orígenes de datos.A single Log collector can handle multiple data sources.
    • Copie el contenido de la pantalla, ya que lo usará al configurar el recopilador de registros para comunicarse con Cloud App Security.Copy the contents of the screen because you will use it when you configure the Log Collector to communicate with Cloud App Security. Si ha seleccionado Syslog, esta información incluye los datos sobre el puerto en el que escucha el agente de escucha de Syslog.If you selected Syslog, this information includes information about which port the Syslog listener is listening on.
  4. Si acepta los términos de licencia de usuario final, descargue una nueva máquina virtual del recopilador de registros; para ello, haga clic en Hyper-V o VMWare.If you accept the end-user license terms, Download a new log collector virtual machine by clicking on Hyper-V or VMWare. A continuación, descomprima el archivo con la contraseña que ha recibido en el portal.Then, unzip the file using the password you received in the portal.

Paso 2: Implementación local de la máquina virtual y la configuración de redStep 2 – On-premises deployment of the virtual machine and network configuration

Nota

En los pasos siguientes se describe la implementación de Hyper-V.The following steps describe the deployment in Hyper-V. Los pasos de implementación para el hipervisor de la máquina virtual son ligeramente diferentes.The deployment steps for VM hypervisor are slightly different.

  1. Abra el Administrador de Hyper-V.Open the Hyper-V Manager.

  2. Seleccione Nuevo y luego Máquina virtual y haga clic en Siguiente.Select New and then Virtual Machine and click Next.
    detección de máquina virtual de Hyper-Vdiscovery Hyper-V virtual machine

  3. Proporcione un Nombre para la nueva máquina virtual, por ejemplo, CloudAppSecurityLogCollector01. Luego haga clic en Siguiente.Provide a Name for the new virtual machine, for example CloudAppSecurityLogCollector01.then click Next.

  4. Seleccione Generación 1 y haga clic en Siguiente.Select Generation 1 and click Next.

  5. Cambie la Memoria de inicio a 4096 MB.Change the Startup memory to 4096 MB.

  6. Active Usar la memoria dinámica para esta máquina virtual y haga clic en Siguiente.Check Use Dynamic Memory for this virtual machine and click Next.

  7. Si está disponible, seleccione la red Conexión y haga clic en Siguiente.If available, choose the network Connection and click Next.

  8. Seleccione Usar un disco duro virtual existente y luego el archivo .vhd incluido en el archivo ZIP que ha descargado.Choose Use an existing virtual hard disk and select the .vhd file that was included in the Zip file you downloaded.

  9. Haga clic en Siguiente y, después, en Finalizar.Click Next and then click Finish.
    La máquina se agrega al entorno de Hyper-V.The machine is added to your Hyper-V environment.

  10. Haga clic en la máquina en la tabla Máquinas virtuales y luego en Iniciar.Click on the machine in the Virtual Machines table and click Start.

  11. Conéctese a la máquina virtual del recopilador de registros para ver si se le ha asignado una dirección DHCP. Para ello, haga clic en la máquina virtual y seleccione Conectar.Connect to the Log Collector virtual machine to see if it has been assigned a DHCP address: Click on the virtual machine and select Connect. Debería ver el mensaje de inicio de sesión.You should see the login prompt. Si ve una dirección IP, puede conectarse a la máquina virtual mediante una herramienta SSH o terminal.If you see an IP address, then you can connect to the virtual machine using a terminal/SSH tool. Si no ve una dirección IP, inicie sesión mediante las herramientas de conexión de Hyper-V o VMware con las credenciales que copió al crear el recopilador de registros anteriormente.If you do not see an IP address, log in using the Hyper-V/VMWare connection tools with the credentials you copied down when you created the Log Collector previously. Puede cambiar la contraseña y configurar la máquina virtual con la utilidad de configuración de red mediante la ejecución del comando siguiente:You can change the password and configure the virtual machine using the network configuration utility by running the following command:

    sudo network_config
    

    Nota

    La máquina virtual está preconfigurada para obtener una dirección IP de un servidor DHCP.The virtual machine is pre-configured to obtain an IP address from a DHCP server. Si necesita configurar direcciones IP estáticas, una puerta de enlace predeterminada, un nombre de host, servidores DNS y NTPS, puede usar la utilidad network_config o realizar los cambios manualmente.If you need to configure a static IP address, default gateway, hostname, DNS servers, and NTPS, you can use the network_config utility or perform changes manually.

En este punto, el recopilador de registros debería estar conectado a la red y ser capaz de acceder al portal de Cloud App Security.At this point, your log collector should be connected to your network and should be able to reach the Cloud App Security portal.

Paso 3: Configuración local de la recopilación de registrosStep 3 – On-premises configuration of the log collection

Para iniciar sesión por primera vez en el recopilador de registros e importar la configuración de dicho recopilador desde el portal, debe hacer lo siguiente.The first time you log in to the log collector and import the log collector's configuration from the portal, as follows.

  1. Inicie sesión en el recopilador de registros a través de SSH con las credenciales de administrador interactivas proporcionadas en el portal.Log in to the log collector over SSH using the Interactive admin credentials provided to you in the portal. (Si es la primera vez que inicia sesión en la consola, deberá cambiar la contraseña y volver a iniciar sesión después de cambiarla.(If this is your first time logging in to the console, you will need to change the password and log in again after changing the password. Si está usando una sesión de terminal, podría tener que reiniciar la sesiónIf you are using a terminal session, you might need to restart the terminal session. ))
  2. Ejecute la utilidad de configuración del recopilador con el token de acceso que se le proporcionó al crear el recopilador de registros.sudo collector_config <access token>Run the collector config utility with the access token provided to you when you created the log collector.sudo collector_config <access token>
  3. Escriba el dominio de la consola, por ejemplo: contoso.portal.cloudappsecurity.com. Está disponible en la dirección URL que aparece después de iniciar sesión en el portal de Cloud App Security.Enter your console domain, for example: contoso.portal.cloudappsecurity.com This is available from the URL you see after logging in to the Cloud App Security portal.

  4. Escriba el nombre del recopilador de registros que quiere configurar, por ejemplo: CloudAppSecurityLogCollector01 o NewYork en la imagen anterior.Enter the name of the log collector you want to configure, for example: CloudAppSecurityLogCollector01 or NewYork from the preceding picture.

  5. Importe la configuración del recopilador de registros desde el portal de este modo:Import the log collector's configuration from the portal, as follows:

    a.a. Inicie sesión en el recopilador de registros a través de SSH con las credenciales de administrador interactivas proporcionadas en el portal.Log in to the log collector over SSH using the Interactive admin credentials provided to you in the portal.

    b.b. Ejecute la utilidad de configuración del recopilador con el token de acceso proporcionado en el comando sudo collector_config \<access token>Run the collector config utility with the access token provided to you in the command sudo collector_config \<access token>

    c.c. Escriba el dominio de la consola, por ejemplo: contoso.portal.cloudappsecurity.comEnter your console domain, for example: contoso.portal.cloudappsecurity.com

    d.d. Escriba el nombre del recopilador de registros que quiere configurar, por ejemplo:CloudAppSecurityLogCollector01Enter the name of the log collector you want to configure, for example:CloudAppSecurityLogCollector01

Paso 4: Configuración local de los dispositivos de redStep 4 - On-premises configuration of your network appliances

Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo, por ejemplo:Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

 `London Zscaler - Destination path: 614`  

 BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\  

Paso 5: Comprobación de la implementación correcta en el portal Cloud App SecurityStep 5 - Verify the successful deployment in the Cloud App Security portal

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado.Check the collector status in the Log collector table and make sure the status is Connected. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.If it is Created, it is possible that the log collector connection and parsing have not completed.

estado del recopilador de registros

Vaya al registro de gobierno y comprobar que los registros se están cargando periódicamente en el portal.Go to the Governance log and verify that logs are being periodically uploaded to the portal.

Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.If you encounter problems during deployment, see Troubleshooting Cloud Discovery.

Opcional: crear informes continuos personalizadosOptional - Create custom continuous reports

Después de comprobar que los registros se cargan en Cloud App Security y que se generan los informes, puede crear informes personalizados.After you have verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Ahora puede crear informes de detección personalizados en función de los grupos de usuarios de Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, puede importar el grupo de marketing mediante la característica para importar grupos de usuarios y, después, crear un informe personalizado para este grupo.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.You can also customize a report based on IP address tag or IP address ranges.

  1. En el portal de Cloud App Security, en el engranaje de configuración, seleccione Cloud Discovery settings (Configuración de Cloud Discovery) y Administrar informes continuos.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings, and then select Manage continuous reports.
  2. Haga clic en el botón Crear informe y rellene los campos.Click the Create report button and fill in the fields.
  3. En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Nota

Todos los informes personalizados se limitan a un máximo de 1 GB de datos sin comprimir.All custom reports are limited to a maximum of 1 GB of uncompressed data. Si hay más de 1 GB de datos, se exportará el primer GB de datos en el informe.If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Informe continuo personalizado

Consulte tambiénSee Also

Trabajo con datos de Cloud Discovery Working with Cloud Discovery data
Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.