仮想アプライアンスでの継続的なレポートのために自動ログ アップロードを構成する - 非推奨Configure automatic log upload for continuous reports on a virtual appliance - Deprecated

適用対象: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

警告

柔軟性の高い展開を実現するために、Docker を使用してログのアップロードを構成することをお勧めします。It is highly recommended to configure log upload using Docker for more flexible deployment.

技術要件Technical requirements

  • ハイパーバイザー: Hyper-V または VMwareHypervisor: Hyper-V or VMware
  • ディスク領域: 250 GBDisk space: 250 GB
  • CPU: 2CPU: 2
  • RAM: 4 GBRAM: 4 GB
  • ネットワーク要件で説明されているとおりにファイアウォールを設定するSet your firewall as described in Network requirements

ログ コレクターのパフォーマンスLog collector performance

ログ コレクターは、1 時間あたり最大 50 GB の容量のログを処理できます。The Log collector can successfully handle log capacity of up to 50 GB per hour. ログ収集プロセスの主なボトルネックは次のとおりです。The main bottlenecks in the log collection process are:

  • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。Network bandwidth - your network bandwidth determines the log upload speed.
  • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログが書き込まれる速度が決まります。I/O performance of the virtual machine - determines the speed at which logs are written to the log collector’s disk. ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。In cases of congestion, the log collector starts to drop log files. 全体的に 1 時間あたり 50 GB を超える状況であったら、複数のログ コレクターにトラフィックを分割することをお勧めします。If your setup generally exceeds 50 GB per hour, it's recommended to split the traffic between multiple log collectors.

セットアップと構成Set up and configuration

  1. 自動アップロードの設定ページに移動します。Go to the automated upload setting page:
    Cloud App Security ポータルで、設定アイコン 設定アイコン をクリックしてから [ログ コレクター] をクリックします。In the Cloud App Security portal, click the settings icon settings icon, followed by Log collectors.

  2. ログをアップロードするファイアウォールまたはプロキシそれぞれに対応するデータ ソースを作成します。For each firewall or proxy from which you want to upload logs, create a matching data source:

    に設定する必要があります。a. [データ ソースの追加] をクリックします。Click Add data source.

    b.b. プロキシまたはファイアウォールの [名前] を付けます。Name your proxy or firewall.

    c.c. [ソース] リストからアプライアンスを選択します。Select the appliance from the Source list. 一覧に表示されていないネットワーク アプライアンスを使用するために [カスタム ログ形式] を選ぶ場合、構成方法の詳細についてはカスタム ログ パーサーの使用に関するページをご覧ください。If you select Custom log format to work with a network appliance that isn't listed, see Working with the custom log parser for configuration instructions.

    d.d. 予想されるログ形式のサンプルとログを比較します。Compare your log with the sample of the expected log format. ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。If your log file format doesn't match this sample, you should add your data source as Other.

    e.e. [レシーバーの種類][FTP] または [Syslog] のいずれかに設定します。Set the Receiver type to either FTP or Syslog. [Syslog] の場合、 [UDP][TCP] 、または [TLS] を選択します。For Syslog, choose UDP, TCP, or TLS.

    f.f. [追加] をクリックして、データ ソースを保存します。Click Add to save the data source. ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. 画面上部の [ログ コレクター] タブに移動します。Go to the Log collectors tab at the top.

    に設定する必要があります。a. [ログ コレクターを追加] をクリックします。Click Add log collector.

    b.b. ログ コレクターに名前を付けます。Give the log collector a Name.

    c.c. コレクターに接続するすべてのデータ ソースを選択します。Select all Data sources that you want to connect to the collector. [更新] をクリックして構成を保存し、アクセス トークンを生成します。Click Update to save the configuration and generate an access token.
    データ ソースの検出discovery data sources

    注意

    • 1 つのログ コレクターで複数のデータ ソースを処理できます。A single Log collector can handle multiple data sources.
    • Cloud App Security と通信するようログ コレクターを構成するときに情報を使用するため、画面の内容をコピーします。Copy the contents of the screen because you will use it when you configure the Log Collector to communicate with Cloud App Security. Syslog を選択した場合、この情報には、Syslog リスナーがリッスンするポートに関する情報が含まれます。If you selected Syslog, this information includes information about which port the Syslog listener is listening on.
  4. エンド ユーザー ライセンス条項に同意したら、Hyper-V または VMWare をクリックして、新しいログ コレクター仮想マシンをダウンロードします。If you accept the end-user license terms, Download a new log collector virtual machine by clicking on Hyper-V or VMWare. その後、ポータルで受け取ったパスワードを使用して、ファイルを解凍します。Then, unzip the file using the password you received in the portal.

ステップ 2: 仮想マシンのオンプレミス展開とネットワークの構成Step 2 – On-premises deployment of the virtual machine and network configuration

注意

次の手順は、Hyper-V での展開について説明したものです。The following steps describe the deployment in Hyper-V. VM のハイパーバイザーを展開する手順は若干異なります。The deployment steps for VM hypervisor are slightly different.

  1. Hyper-V マネージャーを開きます。Open the Hyper-V Manager.

  2. [新規] を選択してから [仮想マシン] を選択し、 [次へ] をクリックします。Select New and then Virtual Machine and click Next.
    Hyper-V 仮想マシンの検出discovery Hyper-V virtual machine

  3. 仮想マシンに、たとえば CloudAppSecurityLogCollector01.という [名前] を付けてから [次へ] をクリックします。Provide a Name for the new virtual machine, for example CloudAppSecurityLogCollector01.then click Next.

  4. [生成 1] を選択してから [次へ] をクリックします。Select Generation 1 and click Next.

  5. [起動メモリ][4096 MB] に変更します。Change the Startup memory to 4096 MB.

  6. この仮想マシンの [Use Dynamic Memory (動的メモリを使用)] をオンにしてから、 [次へ] をクリックします。Check Use Dynamic Memory for this virtual machine and click Next.

  7. 可能であれば、ネットワークの [接続] を選択してから [次へ] をクリックします。If available, choose the network Connection and click Next.

  8. [Use an existing virtual hard disk] (既存の仮想ハード ディスクを使用する) を選択します。Choose Use an existing virtual hard disk. ダウンロードした ZIP ファイルに含まれる .vhd ファイルを選択します。Select the .vhd file that was included in the Zip file you downloaded.

  9. [次へ][完了] の順にクリックします。Click Next and then click Finish.
    マシンが Hyper-V 環境に追加されます。The machine is added to your Hyper-V environment.

  10. [仮想マシン] の表でこのマシンをクリックしてから、 [スタート] をクリックします。Click on the machine in the Virtual Machines table and click Start.

  11. ログ コレクター仮想マシンに接続し、DHCP アドレスが割り当てられていることを確認します。その場合、仮想マシンをクリックして [接続] を選択します。Connect to the Log Collector virtual machine to see if it has been assigned a DHCP address: Click on the virtual machine and select Connect. サインイン プロンプトが表示されます。You should see the sign in prompt. IP アドレスを表示する場合は、ターミナル/SSH ツールを使用して仮想マシンに接続できます。If you see an IP address, then you can connect to the virtual machine using a terminal/SSH tool. IP アドレスが表示されない場合は、ログ コレクターを作成したときにコピーした資格情報を使用し、Hyper-V/VMWare 接続ツールでサインインします。If you don't see an IP address, sign in using the Hyper-V/VMWare connection tools with the credentials you copied down when you created the Log Collector previously. 次のコマンドを実行することで、パスワードを変更し、ネットワーク構成ユーティリティを使用して、仮想マシンを構成することができます。You can change the password and configure the virtual machine using the network configuration utility by running the following command:

    sudo network_config
    

    注意

    仮想マシンは、DHCP サーバーから IP アドレスを取得するように事前に構成されています。The virtual machine is pre-configured to obtain an IP address from a DHCP server. 静的 IP アドレス、既定のゲートウェイ、ホスト名、DNS サーバーおよび NTPS を構成する必要がある場合は、network_config ユーティリティを使用することも、手動で変更することもできます。If you need to configure a static IP address, default gateway, hostname, DNS servers, and NTPS, you can use the network_config utility or perform changes manually.

この時点で、ログ コレクターはネットワークに接続されているため、Cloud App Security ポータルにアクセスできるようになります。At this point, your log collector should be connected to your network and should be able to reach the Cloud App Security portal.

ステップ 3: ログ収集のオンプレミス構成Step 3 – On-premises configuration of the log collection

初めてログ コレクターにサインインし、ポータルからログ コレクターの構成をインポートする場合は、次のようにします。The first time you sign in to the log collector and import the log collector's configuration from the portal, as follows.

  1. ポータルで提供された対話型の管理者資格情報を使用して SSH 経由でログ コレクターにサインインします。Sign in to the log collector over SSH using the Interactive admin credentials provided to you in the portal. (コンソールに初めてログインする場合は、パスワードを変更してからもう一度サインインする必要があります。(If this is your first time logging in to the console, you'll need to change the password and sign in again after changing the password. ターミナル セッションを使用している場合は、ターミナル セッションの再起動が必要になることがあります。If you're using a terminal session, you might need to restart the terminal session. )です。)

  2. ログ コレクターの作成時に提供されたアクセス トークンを使用して、コレクターの構成ユーティリティを実行します。sudo collector_config <access token>Run the collector config utility with the access token provided to you when you created the log collector.sudo collector_config <access token>

  3. たとえば、contoso.portal.cloudappsecurity.com のようなコンソールのドメインを入力します。これは、Cloud App Security ポータルへのログイン後に表示される URL から入手できます。Enter your console domain, for example: contoso.portal.cloudappsecurity.com This is available from the URL you see after logging in to the Cloud App Security portal.

  4. 構成するログ コレクターの名前を入力します。たとえば、上図の場合、「CloudAppSecurityLogCollector01」または「NewYork」と入力します。Enter the name of the log collector you want to configure, for example: CloudAppSecurityLogCollector01 or NewYork from the preceding picture.

  5. 次のように、ポータルからログ コレクターの構成をインポートします。Import the log collector's configuration from the portal, as follows:

    に設定する必要があります。a. ポータルで提供された対話型の管理者資格情報を使用して SSH 経由でログ コレクターにサインインします。Sign in to the log collector over SSH using the Interactive admin credentials provided to you in the portal.

    b.b. 次のコマンドで提供されたアクセス トークンを使用して、コレクターの構成ユーティリティを実行します。sudo collector_config \<access token>Run the collector config utility with the access token provided to you in the command sudo collector_config \<access token>

    c.c. たとえば、次に示すようなコンソールのドメインを入力します。contoso.portal.cloudappsecurity.comEnter your console domain, for example: contoso.portal.cloudappsecurity.com

    d.d. たとえば、構成するログ コレクターに次のような名前を入力します。CloudAppSecurityLogCollector01Enter the name of the log collector you want to configure, for example:CloudAppSecurityLogCollector01

ステップ 4: ネットワーク機器のオンプレミス構成Step 4 - On-premises configuration of your network appliances

ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。以下に例を示します。Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

 `London Zscaler - Destination path: 614`  

 BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\  

ステップ 5: Cloud App Security ポータルで正常に展開されたことを確認するStep 5 - Verify the successful deployment in the Cloud App Security portal

[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。Check the collector status in the Log collector table and make sure the status is Connected. [作成済み] の場合、ログ コレクターの接続と解析が完了していない可能性があります。If it's Created, it's possible that the log collector connection and parsing haven't completed.

ログ コレクターの状態

ガバナンス ログに移動して、ログがポータルに定期的にアップロードされていることを確認します。Go to the Governance log and verify that logs are being periodically uploaded to the portal.

展開中に問題が発生した場合は、「Troubleshooting Cloud Discovery」(Cloud Discovery のトラブルシューティング) を参照してください。If you have problems during deployment, see Troubleshooting Cloud Discovery.

省略可能 - カスタムの継続的レポートを作成するOptional - Create custom continuous reports

ログが Cloud App Security にアップロードされ、レポートが生成されていることを確認したら、カスタム レポートを作成できます。After you've verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Azure Active Directory ユーザー グループに基づいて、カスタム検出レポートを作成できるようになりました。You can now create custom discovery reports based on Azure Active Directory user groups. たとえば、マーケティング部門のクラウドの使用状況を確認したい場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートして、このグループにカスタム レポートを作成できます。For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。You can also customize a report based on IP address tag or IP address ranges.

  1. Cloud App Security ポータルで設定の歯車アイコンをクリックし、 [Cloud Discovery settings](Cloud Discovery の設定) を選択し、 [継続的レポート] を選択します。In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings, and then select Continuous reports.
  2. [レポートの作成] ボタンをクリックし、フィールドに入力します。Click the Create report button and fill in the fields.
  3. [フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

注意

すべてのカスタム レポートは、圧縮されていないデータで最大 1 GB までに制限されます。All custom reports are limited to a maximum of 1 GB of uncompressed data. 1 GB を超えるデータがある場合は、最初の 1 GB のデータがレポートにエクスポートされます。If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

カスタムの継続的レポート

次のステップNext steps

Cloud Discovery データでの作業Working with Cloud Discovery data

Premier サポートをご利用のお客様は、Premier ポータルから直接新しいサポート要求を作成することもできます。Premier customers can also create a new support request directly in the Premier Portal.