Configurer le chargement automatique des journaux pour des rapports continus sur une appliance virtuelle - DéconseilléConfigure automatic log upload for continuous reports on a virtual appliance - Deprecated

Avertissement

Il est fortement recommandé de configurer le chargement du journal avec Docker pour un déploiement plus souple.It is highly recommended to configure log upload using the Docker for more flexible deployment.

Spécifications techniquesTechnical requirements

  • Hyperviseur : HyperV ou VMwareHypervisor: HyperV or VMware
  • Espace disque : 250 GoDisk space: 250 GB
  • Processeur : 2CPU: 2
  • RAM : 4 GoRAM: 4 GB
  • Configurez votre pare-feu, comme décrit dans Configuration réseau requiseSet your firewall as described in Network requirements

Performances du collecteur de journauxLog collector performance

Le collecteur de journaux peut gérer correctement une capacité allant jusqu’à 50 Go par heure.The Log collector can successfully handle log capacity of up to 50 GB per hour. Les principaux goulots d’étranglement dans le processus de collecte des journaux sont les suivants :The main bottlenecks in the log collection process are:

  • Bande passante réseau : votre bande passante réseau détermine la vitesse de chargement des journaux.Network bandwidth - your network bandwidth determines the log upload speed.
  • Performances d’E/S de la machine virtuelle allouées par votre service informatique : détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux.I/O performance of the virtual machine allocated by your IT - determines the speed at which logs are written to the log collector’s disk. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille le débit auquel les journaux arrivent et le compare au débit de chargement.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. En cas de congestion, le collecteur de journaux commence à supprimer des fichiers journaux.In cases of congestion, the log collector starts to drop log files. Si votre configuration dépasse généralement 50 Go par heure, il est recommandé de diviser le trafic entre plusieurs collecteurs de journaux.If your setup generally exceeds 50 GB per hour, it is recommended to split the traffic between multiple log collectors.

Installation et configurationSet up and configuration

  1. Accédez à la page des paramètres de chargement automatisé :Go to the automated upload setting page:
    Dans le portail Cloud App Security, cliquez sur l’icône des paramètres icône des paramètres, puis sur Collecteurs de journaux.In the Cloud App Security portal, click the settings icon settings icon, followed by Log collectors.

  2. Pour chaque pare-feu ou proxy à partir desquels vous voulez charger des journaux, créez une source de données correspondante :For each firewall or proxy from which you want to upload logs, create a matching data source:

    a.a. Cliquez sur Ajouter une source de données.Click Add data source.

    b.b. Nommez votre proxy ou pare-feu.Name your proxy or firewall.

    c.c. Sélectionnez l’appareil dans la liste Source.Select the appliance from the Source list. Si vous sélectionnez Format de journal personnalisé pour utiliser une appliance réseau qui n’est pas répertoriée, consultez Utilisation de l’analyseur de journal personnalisé pour obtenir des instructions de configuration.If you select Custom log format to work with a network appliance that is not listed, see Working with the custom log parser for configuration instructions.

    d.d. Comparez votre journal à l’exemple de format de journal attendu.Compare your log with the sample of the expected log format. Si votre format de fichier journal ne correspond pas à cet exemple, vous devez ajouter votre source de données en tant qu’Autre.If your log file format does not match this sample, you should add your data source as Other.

    e.e. Affectez à l’option Type de récepteur la valeur FTP ou Syslog.Set the Receiver type to either FTP or Syslog. Pour Syslog, choisissez UDP ou TCP.For Syslog, choose UDP or TCP.

    f.f. Répétez ce processus pour chaque pare-feu ou proxy dont les journaux peuvent être utilisés pour détecter le trafic sur votre réseau.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. Accédez à l’onglet Collecteurs de journaux en haut.Go to the Log collectors tab at the top.

    a.a. Cliquez sur Ajouter un collecteur de journaux.Click Add log collector.

    b.b. Donnez un nom au collecteur de journaux.Give the log collector a name.

    c.c. Sélectionnez toutes les sources de données que vous voulez connecter au collecteur, puis cliquez sur Mettre à jour pour enregistrer la configuration et générer un jeton d’accès.Select all Data sources that you want to connect to the collector, and click Update to save the configuration and generate an access token.
    sources de données de découvertediscovery data sources

    Note

    • Un seul collecteur de journaux peut gérer plusieurs sources de données.A single Log collector can handle multiple data sources.
    • Copiez le contenu de l’écran, car vous l’utiliserez lors de la configuration du collecteur de journaux pour communiquer avec Cloud App Security.Copy the contents of the screen because you will use it when you configure the Log Collector to communicate with Cloud App Security. Si vous avez sélectionné Syslog, ces informations incluent des informations sur le port utilisé par l’écouteur Syslog pour écouter.If you selected Syslog, this information includes information about which port the Syslog listener is listening on.
  4. Si vous acceptez les termes du contrat de licence logiciel, téléchargez une nouvelle machine virtuelle pour le collecteur de journaux en cliquant sur Hyper-V ou VMware.If you accept the end-user license terms, Download a new log collector virtual machine by clicking on Hyper-V or VMWare. Ensuite, décompressez le fichier avec le mot de passe que vous avez reçu sur le portail.Then, unzip the file using the password you received in the portal.

Étape 2 : déploiement local de la machine virtuelle et de la configuration réseauStep 2 – On-premises deployment of the virtual machine and network configuration

Note

La procédure suivante décrit le déploiement dans Hyper-V.The following steps describe the deployment in Hyper-V. La procédure de déploiement pour l’hyperviseur de machine virtuelle est légèrement différente.The deployment steps for VM hypervisor are slightly different.

  1. Ouvrez le Gestionnaire Hyper-V.Open the Hyper-V Manager.

  2. Sélectionnez Nouveau, puis Machine virtuelle et cliquez sur Suivant.Select New and then Virtual Machine and click Next.
    Détection de machine virtuelle Hyper-Vdiscovery Hyper-V virtual machine

  3. Fournissez un nom à la nouvelle machine virtuelle, par exemple, CloudAppSecurityLogCollector01, puis cliquez sur Suivant.Provide a Name for the new virtual machine, for example CloudAppSecurityLogCollector01.then click Next.

  4. Sélectionnez Génération 1, puis cliquez sur Suivant.Select Generation 1 and click Next.

  5. Affectez à la mémoire de démarrage la valeur 4 096 Mo.Change the Startup memory to 4096 MB.

  6. Cochez Utiliser la mémoire dynamique pour cette machine virtuelle et cliquez sur Suivant.Check Use Dynamic Memory for this virtual machine and click Next.

  7. Si disponible, choisissez la connexion réseau et cliquez sur Suivant.If available, choose the network Connection and click Next.

  8. Choisissez Utiliser un disque dur virtuel existant et sélectionnez le fichier .vhd qui était inclus dans le fichier Zip que vous avez téléchargé.Choose Use an existing virtual hard disk and select the .vhd file that was included in the Zip file you downloaded.

  9. Cliquez sur Suivant , puis sur Terminer.Click Next and then click Finish.
    La machine est ajoutée à votre environnement Hyper-V.The machine is added to your Hyper-V environment.

  10. Cliquez sur la machine dans le tableau Machines virtuelles et cliquez sur Démarrer.Click on the machine in the Virtual Machines table and click Start.

  11. Connectez-vous à la machine virtuelle du collecteur de journaux pour déterminer si une adresse DHCP lui a été attribuée : cliquez sur la machine virtuelle, puis sélectionnez Connect (Connecter).Connect to the Log Collector virtual machine to see if it has been assigned a DHCP address: Click on the virtual machine and select Connect. Vous devez voir l’invite de connexion.You should see the login prompt. Si vous voyez une adresse IP, vous pouvez vous connecter à la machine virtuelle à l’aide d’un outil Terminal Server/SSH.If you see an IP address, then you can connect to the virtual machine using a terminal/SSH tool. Si vous ne voyez pas une adresse IP, connectez-vous en utilisant les outils de connexion Hyper-V/VMWare avec les informations d’identification que vous avez copiées quand vous avez créé le collecteur de journaux précédemment.If you do not see an IP address, log in using the Hyper-V/VMWare connection tools with the credentials you copied down when you created the Log Collector previously. Vous pouvez modifier le mot de passe et configurer la machine virtuelle à l’aide de l’utilitaire de configuration réseau en exécutant la commande suivante :You can change the password and configure the virtual machine using the network configuration utility by running the following command:

    sudo network_config
    

    Note

    La machine virtuelle est préconfigurée pour obtenir une adresse IP d’un serveur DHCP.The virtual machine is pre-configured to obtain an IP address from a DHCP server. Si vous avez besoin de configurer une adresse IP statique, une passerelle par défaut, un nom d’hôte, des serveurs DNS et NTPS, vous pouvez utiliser l’utilitaire network_config ou effectuer les modifications manuellement.If you need to configure a static IP address, default gateway, hostname, DNS servers, and NTPS, you can use the network_config utility or perform changes manually.

À ce stade, votre collecteur de journaux doit être connecté à votre réseau et en mesure d’atteindre le portail Cloud App Security.At this point, your log collector should be connected to your network and should be able to reach the Cloud App Security portal.

Étape 3 : configuration locale de la collecte de journauxStep 3 – On-premises configuration of the log collection

La première fois que vous vous connectez au collecteur de journaux et importez sa configuration à partir du portail, procédez comme suit.The first time you log in to the log collector and import the log collector's configuration from the portal, as follows.

  1. Connectez-vous au collecteur de journaux via SSH, à l’aide des informations d’identification d’administrateur interactives qui vous ont été fournies dans le portail.Log in to the log collector over SSH using the Interactive admin credentials provided to you in the portal. (S’il s’agit de votre première connexion à la console, vous devrez modifier le mot de passe et vous reconnecter après la modification.(If this is your first time logging in to the console, you will need to change the password and log in again after changing the password. Si vous utilisez une session Terminal Server, vous devrez peut-être la redémarrer.If you are using a terminal session, you might need to restart the terminal session. ))
  2. Exécutez l’utilitaire de configuration de collecteur avec le jeton d’accès fourni quand vous avez créé le collecteur de journaux.sudo collector_config <access token>Run the collector config utility with the access token provided to you when you created the log collector.sudo collector_config <access token>
  3. Entrez le domaine de la console, par exemple : contoso.portal.cloudappsecurity.com. Celui-ci est disponible à partir de l’URL qui s’affiche après la connexion au portail Cloud App Security.Enter your console domain, for example: contoso.portal.cloudappsecurity.com This is available from the URL you see after logging in to the Cloud App Security portal.

  4. Entrez le nom du collecteur de journaux que vous souhaitez configurer, par exemple : CloudAppSecurityLogCollector01 ou NewYork à partir de l’image précédente.Enter the name of the log collector you want to configure, for example: CloudAppSecurityLogCollector01 or NewYork from the preceding picture.

  5. Importez la configuration du collecteur de journaux à partir du portail, comme suit :Import the log collector's configuration from the portal, as follows:

    a.a. Connectez-vous au collecteur de journaux via SSH, à l’aide des informations d’identification d’administrateur interactives qui vous ont été fournies dans le portail.Log in to the log collector over SSH using the Interactive admin credentials provided to you in the portal.

    b.b. Exécutez l’utilitaire de configuration de collecteur avec le jeton d’accès fourni dans la commande sudo collector_config \<access token>.Run the collector config utility with the access token provided to you in the command sudo collector_config \<access token>

    c.c. Entrez le domaine de la console, par exemple : contoso.portal.cloudappsecurity.comEnter your console domain, for example: contoso.portal.cloudappsecurity.com

    d.d. Entrez le nom du collecteur de journaux à configurer, par exemple : CloudAppSecurityLogCollector01Enter the name of the log collector you want to configure, for example:CloudAppSecurityLogCollector01

Étape 4 : configuration locale de vos équipements de réseauStep 4 - On-premises configuration of your network appliances

Configurez vos pare-feu réseau et proxys pour exporter régulièrement les journaux vers le port Syslog dédié du répertoire FTP selon les instructions données dans la boîte de dialogue, par exemple :Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

 `London Zscaler - Destination path: 614`  

 BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\  

Étape 5 : vérifier la réussite du déploiement dans le portail Cloud App SecurityStep 5 - Verify the successful deployment in the Cloud App Security portal

Consultez l’état du collecteur dans le tableau Collecteur de journaux et vérifiez que l’état est Connecté.Check the collector status in the Log collector table and make sure the status is Connected. Si l’état est Créé, il est possible que la connexion du collecteur de journaux et l’analyse ne soient pas effectuées.If it is Created, it is possible that the log collector connection and parsing have not completed.

état du collecteur de journaux

Accédez au journal de gouvernance et vérifiez que les journaux sont régulièrement chargés sur le portail.Go to the Governance log and verify that logs are being periodically uploaded to the portal.

Si vous rencontrez des problèmes lors du déploiement, consultez Dépannage de Cloud Discovery.If you encounter problems during deployment, see Troubleshooting Cloud Discovery.

Facultatif : Créer des rapports continus personnalisésOptional - Create custom continuous reports

Après avoir vérifié que les journaux sont en cours de chargement dans Cloud App Security et que les rapports sont générés, vous pouvez créer des rapports personnalisés.After you have verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Vous pouvez maintenant créer des rapports de découverte personnalisés basés sur les groupes d’utilisateurs Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Par exemple, si vous voulez afficher l’utilisation cloud de votre service marketing, vous pouvez importer le groupe marketing à l’aide de la fonctionnalité d’importation des groupes d’utilisateurs, puis créer un rapport personnalisé pour ce groupe.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. Vous pouvez également personnaliser un rapport en fonction d’une balise d’adresse IP ou de plages d’adresses IP.You can also customize a report based on IP address tag or IP address ranges.

  1. Dans le portail Cloud App Security, dans les Paramètres (roue crantée), sélectionnez Paramètres Cloud Discovery, puis Gérer les rapports continus.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings, and then select Manage continuous reports.
  2. Cliquez sur le bouton Créer un rapport et renseignez les champs.Click the Create report button and fill in the fields.
  3. Sous Filtres, vous pouvez filtrer les données par source de données, par groupe d’utilisateurs importé ou par balises et plages d’adresses IP.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Note

Tous les rapports personnalisés sont limitées à 1 Go de données maximum non compressées.All custom reports are limited to a maximum of 1 GB of uncompressed data. En cas de dépassement, le premier 1 Go de données est exporté dans le rapport.If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Rapport continu personnalisé

Voir aussiSee Also

Utilisation des données Cloud Discovery Working with Cloud Discovery data
Pour obtenir du support technique, consultez la page Support assisté Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.