Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

Megjegyzés

Új nevet adtunk Microsoft Cloud App Security. A neve mostantól Microsoft Defender for Cloud Apps. Az elkövetkező hetekben frissíteni fogjuk a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A változással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezését a Microsoft Ignite biztonsági blogján olvashatja el.

A naplógyűjtők segítségével könnyedén és automatikus módon töltheti fel a hálózatáról készült naplókat. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja. A rendszer minden naplót automatikusan feldolgoz, tömörít, és továbbít a portálra. Az FTP-naplókat a Microsoft Defender for Cloud Apps miután a fájl befejezte az FTP-átvitelt a naplógyűjtőbe. A Syslog esetén a naplógyűjtő a fogadott naplókat a lemezre írja. Ezután a gyűjtő feltölti a fájlt a Felhőhöz készült Defender Apps szolgáltatásba, ha a fájl mérete nagyobb, mint 40 KB.

Miután feltöltött egy naplót az Felhőhöz készült Defender Appsbe, áthelyezi egy biztonsági mentési könyvtárba. A biztonsági mentési könyvtár az utolsó 20 naplót tárolja. Amikor új naplók érkeznek, a régiek törlődnek. Amikor a naplógyűjtő lemezterülete megtelik, a naplógyűjtő eldobja az új naplókat, amíg több szabad lemezterülettel nem rendelkezik. Amikor ez történik, a Naplógyűjtők lap Naplógyűjtők lapján megjelenik a Naplók automatikus feltöltése beállítás.

Az automatikus naplófájlgyűjtés beállítása előtt ellenőrizze, hogy a napló megfelel-e a várt naplótípusnak. Győződjön meg arról, hogy Felhőhöz készült Defender Apps képes az adott fájlra. További információ: Forgalmi naplók használata Cloud Discovery.

Megjegyzés

  • Felhőhöz készült Defender Apps támogatja a naplók SIEM-kiszolgálóról a naplógyűjtőbe való továbbítását, feltéve, hogy a naplók továbbítása az eredeti formátumban folyamatban van. Javasoljuk azonban, hogy a naplógyűjtőt közvetlenül a tűzfallal és/vagy a proxyval integrálja.
  • A naplógyűjtő a feltöltés előtt tömöríti az adatokat. A naplógyűjtő kimenő forgalma a kapott forgalmi naplók méretének 10%-a lesz.
  • Ha a naplógyűjtő problémákba ütközik, riasztást kap, miután 48 órán keresztül nem érkezett meg adat.

Üzembehelyezési módok

A naplógyűjtő támogatja a tároló üzembe helyezési módját. Docker-rendszerképként fut a Windows, Ubuntu helyszíni, Ubuntu azAzure-ban, RHEL helyszíni vagy CentOS rendszerképként.

Következő lépések