Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Linuxon

Az automatikus naplófeltöltést konfigurálhatja a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban a helyszíni Ubuntu- vagy CentOS-kiszolgálón található Docker használatával.

Fontos

Ha az RHEL 7.1-es vagy újabb verzióját használja, a Docker helyett a Podmant kell használnia az automatikus naplógyűjtéshez. További információ: Automatikus naplófeltöltés konfigurálása a Podman (előzetes verzió) használatával.

A felhasználói sikerhez szükséges alapvető információk

Előfeltételek

• Operációs rendszer:

  • Ubuntu 14.04, 16.04, 18.04 és 20.04
  • CentOS 7.2 vagy újabb

• Lemezterület: 250 GB

• CPU-magok: 2

• CPU-architektúra: Intel® 64 és AMD 64

• RAM: 4 GB

• A tűzfal beállítása a hálózati követelményekben leírtak szerint

Feljegyzés

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

A naplógyűjtő teljesítménye

A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

• Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

• A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Beállítás és konfigurálás

1. lépés – Webportál konfigurálása: Adatforrások megadása és naplógyűjtőhöz társítása

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza az Automatikus naplófeltöltés lehetőséget. Ezután válassza az Adatforrások lapot.

3. Minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni, hozzon létre egy megfelelő adatforrást.

   1. Kattintson az Adatforrás hozzáadása lehetőségre.
      
   2. Nevezze el a proxyt vagy a tűzfalat.
      
   3. Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.
   4. Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.
   5. Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

   Feljegyzés

   A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

   f. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként egy dedikált adatforrást állítson be, amely lehetővé teszi a következőket:

   • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
   • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.

4. Lépjen a lap felső részén található Naplógyűjtők lapra.

   1. Kattintson a Naplógyűjtő felvétele gombra.
   2. Nevezze el a naplógyűjtőt.
   3. Adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.
   4. Jelölje ki a gyűjtőhöz csatlakozni kívánt összes adatforrást, és a konfiguráció mentéséhez kattintson a Frissítés gombra.

   

5. További üzembe helyezési információk jelennek meg. Másolja a futtatási parancsot a párbeszédpanelről. A vágólap ikonja a másolás használatával is használható.

6. Exportálja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

   

   Feljegyzés

   • Egy naplógyűjtő több adatforrás kezelésére is alkalmas.
   • Másolja ki a képernyő tartalmát, mert szüksége lesz az adatokra, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra. Ha a Syslog fogadótípust választotta, akkor az információk között azt is megtalálja, hogy a Syslog-figyelő melyik portot figyeli.
   • A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép helyszíni üzembe helyezése

Az alábbi lépések az Ubuntuban történő üzembe helyezést írják le.

Feljegyzés

A többi támogatott platform üzembe helyezési lépései kissé eltérőek lehetnek.

1. Nyisson meg egy terminált az Ubuntu-gépen.

2. Váltson gyökérjogjogokra a következő paranccsal: sudo -i

3. A hálózat proxyjának megkerüléséhez futtassa a következő két parancsot:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Ha elfogadja a szoftverlicenc feltételeit, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:

CentOS

1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

2. A Docker-motor előfeltételeinek telepítése: yum install -y yum-utils

3. Docker-adattár hozzáadása:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Telepítse a Docker-motort: yum -y install docker-ce

5. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

6. Docker telepítésének tesztelése: docker run hello-world

Red Hat 7

1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

2. A Docker-motor előfeltételeinek telepítése:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Docker-adattár hozzáadása:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Függőségek telepítése:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Telepítse a Docker-motort: sudo yum install docker-ce

6. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

7. Docker telepítésének tesztelése: docker run hello-world

Red Hat 8

1. Távolítsa el a tárolóeszközök modult: yum module remove container-tools

2. Adja hozzá a Docker CE-adattárat: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Módosítsa a yum-adattárfájlt a CentOS 8-csomagok használatára: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Telepítse a Docker CE-t: yum install docker-ce

5. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

6. Docker telepítésének tesztelése: docker run hello-world

Ubuntu

1. Távolítsa el a Docker régi verzióit: apt-get remove docker docker-engine docker.io

2. Ha az Ubuntu 14.04-et telepíti, telepítse a linux-image-extra csomagot.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. A Docker-motor előfeltételeinek telepítése:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Ellenőrizze, hogy az apt-key ujjlenyomat UID-e:docker@docker.comapt-key fingerprint | grep uid

5. Telepítse a Docker-motort:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Docker telepítésének tesztelése: docker run hello-world

5. Telepítse a gyűjtőrendszerképet a tárológépen a gyűjtő konfigurációjának importálásával. Importálja a konfigurációt a portálon létrehozott futtatási parancs másolásával. Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 192.168.10.1:8080, a frissített futtatási parancs a következő:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Ellenőrizze, hogy a gyűjtő megfelelően fut-e a következő paranccsal: docker logs <collector_name>

A következő üzenetnek kell megjelennie: Sikeresen befejeződött!

3. lépés – A hálózati berendezések helyszíni konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat a naplók rendszeres exportálására a dedikált Syslog-portra vagy az FTP-könyvtárba a párbeszédpanel irányainak megfelelően. Példa:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

1. Jelentkezzen be a tárolóba a következő paranccsal: docker exec -it <Container Name> bash
2. Ellenőrizze a naplógyűjtő állapotát a következő paranccsal: collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.

3. Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.

4. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

   Feljegyzés

   Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

   

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.