Installer et configurer le Docker de collecteur de journaux automatique sur Windows Server 2016Set up and configure the automatic Log Collector Docker on Windows Server 2016

Note

Cette fonctionnalité est progressivement déployée sur les locataires.This feature is being gradually rolled out across tenants. Contactez le support technique si vous souhaitez être ajouté à la préversion.Contact support if you would like to be added to the preview.

Spécifications techniquesTechnical requirements

  • Système d’exploitation : Windows Server 2016 ou Windows 10OS: Windows sever 2016 or Windows 10

  • Espace disque : 250 GoDisk space: 250 GB

  • Processeur : 2CPU: 2

  • RAM : 4 GoRAM: 4 GB

  • Paramètres du pare-feu :Firewall settings:

    • Autorisez le collecteur de journaux à recevoir le trafic FTP et Syslog entrant.Allow the log collector to receive inbound FTP and Syslog traffic.

    • Autorisez le collecteur de journaux à lancer le trafic sortant sur le portail (par exemple, contoso.cloudappsecurity.com) sur le port 443.Allow the log collector to initiate outbound traffic to the portal (for example contoso.cloudappsecurity.com) on port 443.

Performances du collecteur de journauxLog collector performance

Le collecteur de journaux peut gérer correctement une capacité allant jusqu’à 50 Go par heure.The Log collector can successfully handle log capacity of up to 50 GB per hour. Les principaux goulots d’étranglement dans le processus de collecte des journaux sont les suivants :The main bottlenecks in the log collection process are:

  • Bande passante réseau : votre bande passante réseau détermine la vitesse de chargement des journaux.Network bandwidth - your network bandwidth determines the log upload speed.

  • Performances d’E/S de la machine virtuelle allouées par votre service informatique : détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux.I/O performance of the virtual machine allocated by your IT - determines the speed at which logs are written to the log collector’s disk. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille le débit auquel les journaux arrivent et le compare au débit de chargement.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. En cas de congestion, le collecteur de journaux commence à supprimer des fichiers journaux.In cases of congestion, the log collector starts to drop log files. Si votre configuration dépasse généralement 50 Go par heure, il est recommandé de diviser le trafic entre plusieurs collecteurs de journaux.If your setup generally exceeds 50 GB per hour, it is recommended to split the traffic between multiple log collectors.

Installation et configurationSet up and configuration

  1. Accédez à la page des paramètres de chargement automatisé :Go to the automated upload setting page:
    Dans le portail Cloud App Security, cliquez sur l’icône des paramètres icône des paramètres, puis sur Collecteurs de journaux.In the Cloud App Security portal, click the settings icon settings icon followed by Log collectors.

  2. Pour chaque pare-feu ou proxy à partir desquels vous voulez charger des journaux, créez une source de données correspondante :For each firewall or proxy from which you want to upload logs, create a matching data source:

    Windows 1

    a.a. Cliquez sur Ajouter une source de données.Click Add data source.

    b.b. Nommez votre proxy ou pare-feu.Name your proxy or firewall.

    c.c. Sélectionnez l’appareil dans la liste Source.Select the appliance from the Source list. Si vous sélectionnez Format de journal personnalisé pour utiliser une appliance réseau qui n’est pas spécifiquement répertoriée, consultez Utilisation de l’analyseur de journal personnalisé pour obtenir des instructions de configuration.If you select Custom log format to work with a network appliance that is not specifically listed, see Working with the custom log parser for configuration instructions.

    d.d. Comparez votre journal à l’exemple de format de journal attendu.Compare your log with the sample of the expected log format. Si votre format de fichier journal ne correspond pas à cet exemple, vous devez ajouter votre source de données en tant qu’Autre.If your log file format does not match this sample, you should add your data source as Other.

    e.e. Définissez le Type de récepteur sur FTP, FTPS, Syslog – UDP ou Syslog – TCP ou Syslog – TLS.Set the Receiver type to either FTP, FTPS, Syslog – UDP, or Syslog – TCP, or Syslog – TLS.

    Note

    L’intégration à des protocoles de transfert sécurisés (FTPS et Syslog – TLS) nécessite souvent un paramètre supplémentaire ou votre pare-feu/proxy.Integrating with secure transfer protocols (FTPS and Syslog – TLS) often requires additional setting or your Firewall/Proxy.

    f.f. Répétez ce processus pour chaque pare-feu ou proxy dont les journaux peuvent être utilisés pour détecter le trafic sur votre réseau.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. Accédez à l’onglet Collecteurs de journaux en haut.Go to the Log collectors tab at the top.

    a.a. Cliquez sur Ajouter un collecteur de journaux.Click Add log collector.

    b.b. Donnez un nom au collecteur de journaux.Give the log collector a name.

    c.c. Entrez l’adresse IP hôte de l’ordinateur sur lequel est déployé le Docker.Enter the host IP address of the machine you will use to deploy the Docker on.

    d.d. Sélectionnez toutes les Sources de données que vous voulez connecter au collecteur, puis cliquez sur Mettre à jour pour enregistrer la configuration et consulter les étapes suivantes du déploiement.Select all Data sources that you want to connect to the collector, and click Update to save the configuration see the next deployment steps.

    Windows2

    Note
    • Un seul collecteur de journaux peut gérer plusieurs sources de données.A single Log collector can handle multiple data sources.

    • Copiez le contenu de l’écran, car vous aurez besoin des informations lors de la configuration du collecteur de journaux pour communiquer avec Cloud App Security.Copy the contents of the screen because you will need the information when you configure the Log Collector to communicate with Cloud App Security. Si vous avez sélectionné Syslog, ces informations vont inclure des informations sur le port utilisé par l’écouteur Syslog pour écouter.If you selected Syslog, this information will include information about which port the Syslog listener is listening on.

  4. Des informations supplémentaires sur le déploiement s’affichent.Further deployment information will appear.

    Windows3

  5. Copiez la commande d’exécution à partir de la boîte de dialogue.Copy the run command from the dialog. Vous pouvez utiliser l’icône de copie dans le Presse-papiers icône de copie dans le Presse-papiers.You can use the copy to clipboard icon copy to clipboard icon.

  6. Exportez la configuration de sources de données attendue.Export the expected data sources configuration. Cette configuration décrit comment définir l’exportation du journal dans vos appliances.This configuration describes how you should set the log export in your appliances.

    Windows4

Étape 2 : Déploiement local de votre ordinateurStep 2 – On-premises deployment of your machine

Note

Les étapes suivantes décrivent le déploiement dans Windows Server.The following steps describes the deployment in Windows Server. Les étapes de déploiement pour d’autres plateformes sont légèrement différentes.The deployment steps for other platforms are slightly different.

  1. Téléchargez la dernière version stable de Docker pour Windows.Download the latest stable Docker for Windows.

  2. Exécutez le programme d’installation InstallDocker.msi.Run the InstallDocker.msi installer.

  3. Ouvrez un terminal PowerShell sur votre ordinateur Windows.Open a PowerShell terminal on your Windows machine.

  4. Connectez-vous au hub Docker à l’aide de la commande suivante : docker login -u caslogcollectorConnect to the docker hub using the following command: docker login -u caslogcollector

  5. Utilisez le mot de passe suivant : C0llector3nthusiastUse the following password C0llector3nthusiast

    windows5

  6. Extrayez l’image du collecteur du hub Docker à l’aide de la commande suivante : docker pull microsoft/caslogcollectorPull to the collector image from the docker hub using the following command: docker pull microsoft/caslogcollector

    windows6

  7. Déployez l’image du collecteur à l’aide de la commande d’exécution générée dans le portail.Deploy the collector image using the run command generated in the portal.

    windows8

    Note

    Si vous devez configurer un proxy, ajoutez dessous l’adresse IP et le port du proxy.If you need to configure a proxy add the proxy IP address and port under. Par exemple, si les détails de votre proxy sont 192.168.10.1:8080, votre commande d’exécution mise à jour est :For example, if your proxy details are 192.168.10.1:8080, your updated run command is:
    docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "TOKEN=41f8f442c9a30519a058dd3bb9a19c79eb67f34a8816270dc4a384493988863a" -e "CONSOLE=tenant2.eu1-rs.adallom.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN -dt microsoft/caslogcollector starter

    windows9

  8. Vérifiez que le collecteur s’exécute correctement à l’aide de la commande suivante :docker logs <collector_name>Verify the collector is running properly by running the following command: docker logs <collector_name>

Vous devez voir le message Opération terminée.You should see the message Finished successfully!. windows10windows10

Étape 3 : Configuration locale de vos appliances réseauStep 3 - On-premises configuration of your network appliances

Configurez vos pare-feu réseau et proxys pour exporter régulièrement les journaux vers le port Syslog dédié du répertoire FTP selon les instructions données dans la boîte de dialogue, par exemple :Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

    BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Étape 4 : Vérifier la réussite du déploiement dans le portail Cloud App SecurityStep 4 - Verify the successful deployment in the Cloud App Security portal

Consultez l’état du collecteur dans le tableau Collecteur de journaux et vérifiez que l’état est Connecté.Check the collector status in the Log collector table and make sure the status is Connected. Si l’état est Créé, il est possible que la connexion du collecteur de journaux et l’analyse ne soient pas effectuées.If it is Created, it is possible that the log collector connection and parsing has not completed.

windows11

Vous pouvez aussi accéder au journal de gouvernance et vérifier que les journaux sont régulièrement chargés sur le portail.You can also go to the Governance log and verify that logs are being periodically uploaded to the portal.

Si vous rencontrez des problèmes lors du déploiement, consultez Dépannage de Cloud Discovery.If you encounter problems during deployment, see Troubleshooting Cloud Discovery.

Facultatif : Créer des rapports continus personnalisésOptional - Create custom continuous reports

Après avoir vérifié que les journaux sont en cours de chargement dans Cloud App Security et que les rapports sont générés, vous pouvez créer des rapports personnalisés.After you have verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Vous pouvez maintenant créer des rapports de découverte personnalisés basés sur les groupes d’utilisateurs Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Par exemple, si vous voulez afficher l’utilisation cloud de votre service marketing, vous pouvez importer le groupe marketing à l’aide de la fonctionnalité d’importation des groupes d’utilisateurs, puis créer un rapport personnalisé pour ce groupe.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. Vous pouvez également personnaliser un rapport en fonction d’une balise d’adresse IP ou de plages d’adresses IP.You can also customize a report based on IP address tag or IP address ranges.

  1. Dans le portail Cloud App Security, dans les Paramètres (roue crantée), sélectionnez Paramètres Cloud Discovery, puis Gérer les rapports continus.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings and then select Manage continuous reports.
  2. Cliquez sur le bouton Créer un rapport et renseignez les champs.Click the Create report button and fill in the fields.
  3. Sous Filtres, vous pouvez filtrer les données par source de données, par groupe d’utilisateurs importé ou par balises et plages d’adresses IP.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Rapport continu personnalisé

Voir aussiSee also

Créer des rapports d’instantanés Cloud DiscoveryCreate snapshot Cloud Discovery reports

Configurer le chargement automatique des journaux pour des rapports continusConfigure automatic log upload for continuous reports

Utilisation des données Cloud DiscoveryWorking with Cloud Discovery data