Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez
A naplógyűjtők segítségével könnyedén és automatikus módon töltheti fel a hálózatáról készült naplókat. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja. A rendszer minden naplót automatikusan feldolgoz, tömörít és továbbít a portálra. Az FTP-naplók feltöltése Felhőhöz készült Microsoft Defender-alkalmazásokba, miután a fájl befejezte az FTP-átvitelt a naplógyűjtőbe. A Syslog esetében a naplógyűjtő a kapott naplókat a lemezre írja. Ezután a gyűjtő feltölti a fájlt Felhőhöz készült Defender Alkalmazásokba, ha a fájl mérete nagyobb, mint 40 KB.
Miután feltöltött egy naplót Felhőhöz készült Defender Appsbe, a rendszer áthelyezi egy biztonsági mentési könyvtárba. A biztonsági mentési könyvtár az utolsó 20 naplót tárolja. Amikor új naplók érkeznek, a régiek törlődnek. Amikor a naplógyűjtő lemezterülete megtelt, a naplógyűjtő új naplókat ad le, amíg több szabad lemezterület nem áll rendelkezésre (ez nem történhet meg, ha az előfeltételek megfelelően teljesülnek). Ez esetben a Feltöltési naplók automatikus beállításainak Naplógyűjtők lapján figyelmeztetés jelenik meg.
Az automatikus naplófájl-gyűjtemény beállítása előtt ellenőrizze, hogy a napló megfelel-e a várt naplótípusnak. Győződjön meg arról, hogy Felhőhöz készült Defender Alkalmazások elemezhetik az adott fájlt. További információ: Forgalmi naplók használata a Cloud Discoveryhez.
Feljegyzés
- Felhőhöz készült Defender Alkalmazások támogatást nyújtanak a naplók SIEM-kiszolgálóról a Naplógyűjtőbe való továbbításához, feltéve, hogy a naplók továbbítása az eredeti formátumban történik. Javasoljuk azonban, hogy a naplógyűjtőt közvetlenül a tűzfallal és/vagy proxyval integrálja.
- A naplógyűjtő a feltöltés előtt tömöríti az adatokat. A naplógyűjtő kimenő forgalma a kapott forgalmi naplók méretének 10%-a lesz.
- Ha a naplógyűjtő problémákat tapasztal, riasztást kap, miután az adatok 48 órán keresztül nem érkeztek meg.
Előfeltételek
- Lemezterület 250 GB
- CPU-magok: 2
- CPU-architektúra: Intel® 64 és AMD 64
- RAM: 4 GB
- A tűzfal beállítása a hálózati követelményekben leírtak szerint
Feljegyzés
Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:
docker stop <collector_name>
docker rm <collector_name>
Feljegyzés
Új naplógyűjtő-verzió telepítéséhez le kell állítania a naplógyűjtőt, el kell távolítania az aktuális lemezképet, és telepítenie kell az újat.
A naplógyűjtő teljesítménye
A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:
- Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
- A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.
Kapcsolódó tartalom
A Naplógyűjtő támogatja a tároló üzembe helyezését. További információkért lásd:
- Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren
- Automatikus naplófeltöltés konfigurálása a Podman használatával
- Automatikus naplófeltöltés konfigurálása a Dockerrel az Azure-ban