Configurar la carga de registros automática para informes continuos
Los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP. Cada registro se procesa, comprime y transmite automáticamente al portal. Los registros FTP se cargan en Microsoft Defender para aplicaciones en la nube después de que el archivo haya finalizado la transferencia FTP al recopilador de registros. En el caso de los archivos Syslog, la biblioteca de registros escribe los registros recibidos en el disco. Cuando el tamaño del archivo sea superior a 40 KB, el recopilador de registros lo cargará en Defender for Cloud Apps.
Después de cargar un registro en Defender para aplicaciones en la nube, se mueve a un directorio de copia de seguridad. El directorio de copia de seguridad almacena los últimos 20 registros. Cuando llegan nuevos registros, se eliminan los antiguos. Cada vez que el espacio en disco del registro esté lleno, el registro descargará nuevos registros hasta que tenga más espacio en disco libre (no debería ocurrir si se cumplen los requisitos previos). Cuando esto ocurra, recibirá una advertencia en la pestaña Recopiladores de registros de la configuración Cargar registros automáticamente.
Antes de configurar la recopilación automática de archivos de registro, compruebe que el registro coincide con el tipo de registro esperado. Asegúrese de que Defender para aplicaciones en la nube puede analizar el archivo específico. Para obtener más información, consulte Usar registros de tráfico para Cloud Discovery.
Nota:
- Defender for Cloud Apps permite el reenvío de registros desde el servidor SIEM al recopilador de registros siempre que estos se reenvíen en su formato original. Aun así, se recomienda encarecidamente integrar el recopilador de registros directamente en el firewall o proxy.
- El recopilador de registros comprime los datos antes de que se carguen. El tráfico saliente en el recopilador de registros será el 10 % del tamaño de los registros de tráfico que recibe.
- Si el recopilador de registros detecta problemas, recibirá una alerta después de que no se hayan recibido datos durante 48 horas.
Requisitos previos
- Espacio en disco: 250 GB
- Núcleos de CPU: 2
- Arquitectura de CPU: Intel® 64 y AMD 64
- RAM: 4 GB
- Configuración del firewall, tal como se describe en Requisitos de red
Nota:
Si tiene un recopilador de registros existente y desea quitarlo antes de implementarlo de nuevo, o si simplemente desea quitarlo, ejecute los siguientes comandos:
docker stop <collector_name>
docker rm <collector_name>
Nota:
Para instalar una nueva versión del recopilador de registros, tendrá que detenerlo, eliminar la imagen actual e instalar la nueva.
Rendimiento del recopilador de registros
El recopilador de registros puede manejar correctamente una capacidad de registros de hasta 50 GB por hora. Los principales cuellos de botella del proceso de recopilación de registros son:
- Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.
- Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.
Contenido relacionado
El recopilador de registros admite el modo de implementación Contenedor. Para más información, vea:
- Configuración de la carga de registros automática con una instancia local de Docker en Windows
- Configuración de la carga automática de registros mediante Podman
- Configuración de la carga de registros automática con Docker en Azure