Configurare il caricamento automatico dei log per i report continui

Nota

È stato rinominato Microsoft Cloud App Security. È ora denominato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla recente ridenominazione dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. L'agente di raccolta log viene eseguito sulla rete e riceve log tramite Syslog o FTP. Ogni log viene elaborato, compresso e trasmesso al portale automaticamente. I log FTP vengono caricati in Microsoft Defender for Cloud Apps dopo che il file ha completato il trasferimento FTP all'agente di raccolta log. Per SysLog l'agente di raccolta log scrive i log ricevuti su disco, L'agente di raccolta carica quindi il file in Defender per le app cloud quando le dimensioni del file sono superiori a 40 KB.

Dopo il caricamento in Defender per le app cloud, un log viene spostato in una directory di backup. Nella directory di backup vengono archiviati gli ultimi 20 log. Quando arrivano nuovi log, quelli meno recenti vengono eliminati. Quando lo spazio su disco dell'agente di raccolta log è pieno, l'agente elimina i nuovi log finché non è disponibile una maggiore quantità di spazio. In questo caso verrà visualizzato un avviso nella scheda Agenti di raccolta log delle impostazioni Carica automaticamente i log.

Prima di configurare la raccolta file automatica dei log, verificare che il tipo di log sia quello previsto. Si vuole assicurarsi che Defender per le app cloud possa analizzare il file specifico. Per altre informazioni, vedere Uso dei log di traffico per Cloud Discovery.

Nota

  • Defender per le app cloud offre il supporto per l'inoltro dei log dal server SIEM all'agente di raccolta log presupponendo che i log vengano inoltrati nel formato originale. È tuttavia consigliabile integrare l'agente di raccolta log direttamente con il firewall e/o il proxy.
  • L'agente di raccolta log comprime i dati prima del caricamento. Il traffico in uscita nell'agente di raccolta log sarà il 10% delle dimensioni dei log di traffico ricevuti.
  • Se l'agente di raccolta log riscontra problemi, si riceverà un avviso dopo la mancata ricezione dei dati per 48 ore.

Modalità di distribuzione

Log Collector supporta la modalità di distribuzione Contenitore . Viene eseguito come immagine Docker in Windows, Ubuntu in locale, Ubuntu in Azure, RHEL in locale o CentOS.

Passaggi successivi