Configurer le chargement automatique des journaux pour les rapports continus

  • Article

Les collecteurs de journaux vous permettent d’automatiser facilement le chargement des journaux à partir de votre réseau. Le collecteur de journaux fonctionne sur votre réseau et reçoit les journaux par Syslog ou FTP. Chaque journal est automatiquement traité, compressé et transmis au portail. Les journaux FTP sont chargés dans Microsoft Defender pour les applications cloud une fois le fichier terminé le transfert FTP vers le collecteur de journaux. Pour Syslog, le collecteur de journaux écrit les journaux reçus sur le disque. Le collecteur charge ensuite le fichier dans Defender for Cloud Apps lorsque la taille du fichier est supérieure à 40 Ko.

Une fois qu’un journal est chargé dans Defender pour Cloud Apps, il est déplacé vers un répertoire de sauvegarde. Le répertoire de sauvegarde stocke les 20 derniers journaux. Lorsque de nouveaux journaux arrivent, les anciens journaux sont supprimés. Chaque fois que l’espace disque du collecteur de journaux est plein, le collecteur de journaux exclut de nouveaux journaux jusqu’à ce qu’il ait plus d’espace disque libre (ceci pourrait se produire si les prérequis ne sont pas remplis). Dans ce cas, vous voyez s’afficher un avertissement sous l’onglet Collecteurs de journaux des paramètres Charger les journaux automatiquement.

Avant de configurer la collecte automatique des fichiers journaux, vérifiez que votre journal correspond au type de journal attendu. Vous souhaitez vous assurer que Defender pour Cloud Apps peut analyser votre fichier spécifique. Pour plus d’informations, consultez Utilisation des journaux de trafic pour Cloud Discovery.

Remarque

  • Defender for Cloud Apps prend en charge le transfert des journaux de votre serveur SIEM au collecteur de journaux en partant du principe que les journaux sont transférés sous leur format d’origine. Cependant, nous vous recommandons fortement d’intégrer le collecteur de journaux directement à votre pare-feu et/ou proxy.
  • Le collecteur de journaux compresse les données avant leur chargement. Le trafic sortant sur le collecteur de journaux sera de 10 % de la taille des journaux de trafic qu’il reçoit.
  • Si le collecteur de journaux rencontre des problèmes, vous recevrez une alerte si aucune donnée n’a été reçue pendant 48 heures.

Prérequis

  • Espace disque 250 Go
  • Cœurs de processeur : 2
  • Architecture de l’UC : Intel® 64 et AMD 64
  • RAM : 4 Go
  • Configurez votre pare-feu, comme décrit dans Configuration réseau requise

Remarque

Si vous disposez d’un collecteur de journaux existant et souhaitez le supprimer avant de le déployer à nouveau, ou si vous souhaitez simplement le supprimer, exécutez les commandes suivantes :

docker stop <collector_name>

docker rm <collector_name>

Remarque

Pour installer une nouvelle version du collecteur de journaux, vous devez arrêter votre collecteur de journaux, supprimer l’image actuelle et installer la nouvelle.

Performances du collecteur de journaux

Le collecteur de journaux peut gérer correctement une capacité allant jusqu’à 50 Go par heure. Les principaux goulots d’étranglement dans le processus de collecte des journaux sont les suivants :

  • Bande passante réseau - Votre bande passante réseau détermine la vitesse de chargement des journaux.
  • Performances d’E/S de la machine virtuelle - Détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille le débit auquel les journaux arrivent et le compare au débit de chargement. En cas de congestion, le collecteur de journaux commence à supprimer des fichiers journaux. Si votre configuration dépasse généralement 50 Go par heure, nous vous recommandons de diviser le trafic entre plusieurs collecteurs de journaux.

Contenu connexe

Le collecteur de journaux prend en charge deux modes de déploiement Conteneur : Pour plus d’informations, consultez l’article suivant :

Étapes suivantes

Utilisation des données Cloud Discovery