Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Linuxon
Az automatikus naplófeltöltést konfigurálhatja a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban a helyszíni Ubuntu- vagy CentOS-kiszolgálón található Docker használatával.
Fontos
Ha az RHEL 7.1-es vagy újabb verzióját használja, a Docker helyett a Podmant kell használnia az automatikus naplógyűjtéshez. További információ: Automatikus naplófeltöltés konfigurálása a Podman (előzetes verzió) használatával.
A felhasználói sikerhez szükséges alapvető információk
Előfeltételek
Operációs rendszer:
- Ubuntu 14.04, 16.04, 18.04 és 20.04
- CentOS 7.2 vagy újabb
Lemezterület: 250 GB
CPU-magok: 2
CPU-architektúra: Intel® 64 és AMD 64
RAM: 4 GB
A tűzfal beállítása a hálózati követelményekben leírtak szerint
Feljegyzés
Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:
docker stop <collector_name>
docker rm <collector_name>
A naplógyűjtő teljesítménye
A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:
Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.
Beállítás és konfigurálás
1. lépés – Webportál konfigurálása: Adatforrások megadása és naplógyűjtőhöz társítása
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza az Automatikus naplófeltöltés lehetőséget. Ezután válassza az Adatforrások lapot.
Minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni, hozzon létre egy megfelelő adatforrást.
- Kattintson az Adatforrás hozzáadása lehetőségre.
- Nevezze el a proxyt vagy a tűzfalat.
- Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.
- Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.
- Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.
Feljegyzés
A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.
f. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként egy dedikált adatforrást állítson be, amely lehetővé teszi a következőket:
- Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
- Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.
- Kattintson az Adatforrás hozzáadása lehetőségre.
Lépjen a lap felső részén található Naplógyűjtők lapra.
- Kattintson a Naplógyűjtő felvétele gombra.
- Nevezze el a naplógyűjtőt.
- Adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.
- Jelölje ki a gyűjtőhöz csatlakozni kívánt összes adatforrást, és a konfiguráció mentéséhez kattintson a Frissítés gombra.
További üzembe helyezési információk jelennek meg. Másolja a futtatási parancsot a párbeszédpanelről. A vágólap ikonja a másolás használatával is használható.
Exportálja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.
Feljegyzés
- Egy naplógyűjtő több adatforrás kezelésére is alkalmas.
- Másolja ki a képernyő tartalmát, mert szüksége lesz az adatokra, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra. Ha a Syslog fogadótípust választotta, akkor az információk között azt is megtalálja, hogy a Syslog-figyelő melyik portot figyeli.
- A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.
2. lépés – A gép helyszíni üzembe helyezése
Az alábbi lépések az Ubuntuban történő üzembe helyezést írják le.
Feljegyzés
A többi támogatott platform üzembe helyezési lépései kissé eltérőek lehetnek.
Nyisson meg egy terminált az Ubuntu-gépen.
Váltson gyökérjogjogokra a következő paranccsal:
sudo -i
A hálózat proxyjának megkerüléséhez futtassa a következő két parancsot:
export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888) export https_proxy='<IP>:<PORT>'
Ha elfogadja a szoftverlicenc feltételeit, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:
Távolítsa el a Docker régi verzióit:
yum erase docker docker-engine docker.io
A Docker-motor előfeltételeinek telepítése:
yum install -y yum-utils
Docker-adattár hozzáadása:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Telepítse a Docker-motort:
yum -y install docker-ce
A Docker indítása
systemctl start docker systemctl enable docker
Docker telepítésének tesztelése:
docker run hello-world
Telepítse a gyűjtőrendszerképet a tárológépen a gyűjtő konfigurációjának importálásával. Importálja a konfigurációt a portálon létrehozott futtatási parancs másolásával. Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 192.168.10.1:8080, a frissített futtatási parancs a következő:
(echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Ellenőrizze, hogy a gyűjtő megfelelően fut-e a következő paranccsal:
docker logs <collector_name>
A következő üzenetnek kell megjelennie: Sikeresen befejeződött!
3. lépés – A hálózati berendezések helyszíni konfigurálása
Konfigurálja a hálózati tűzfalakat és proxykat a naplók rendszeres exportálására a dedikált Syslog-portra vagy az FTP-könyvtárba a párbeszédpanel irányainak megfelelően. Példa:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon
Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.
A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.
Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:
- Jelentkezzen be a tárolóba a következő paranccsal:
docker exec -it <Container Name> bash
- Ellenőrizze a naplógyűjtő állapotát a következő paranccsal:
collector_status -p
Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.
Nem kötelező – Egyéni folyamatos jelentések létrehozása
Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.
Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.
A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.
Feljegyzés
Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.