Konfigurowanie automatycznego przekazywania dzienników na potrzeby raportów ciągłych na urządzenia wirtualnego — przestarzałeConfigure automatic log upload for continuous reports on a virtual appliance - Deprecated

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ostrzeżenie

Zdecydowanie zaleca się konfigurowanie przy użyciu przekazywania dziennika Docker bardziej elastyczne wdrożenia.It is highly recommended to configure log upload using Docker for more flexible deployment.

Wymagania techniczneTechnical requirements

  • Funkcja hypervisor: Funkcji Hyper-V lub VMwareHypervisor: Hyper-V or VMware
  • Miejsce na dysku: 250 GBDisk space: 250 GB
  • PROCESOR CPU: 2CPU: 2
  • PAMIĘĆ RAM: 4 GBRAM: 4 GB
  • Ustaw zaporę, zgodnie z opisem w wymagania dotyczące sieciSet your firewall as described in Network requirements

Wydajność modułu zbierającego dziennikiLog collector performance

Moduł zbierający dzienniki może pomyślnie obsługiwać dzienniki o rozmiarze do 50 GB na godzinę.The Log collector can successfully handle log capacity of up to 50 GB per hour. Głównymi wąskimi gardłami procesu zbierania dzienników są:The main bottlenecks in the log collection process are:

  • Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.Network bandwidth - your network bandwidth determines the log upload speed.
  • Wydajność We/Wy maszyny wirtualnej — określa szybkość jaką dzienniki są zapisywane na dysku modułu zbierającego dziennika.I/O performance of the virtual machine - determines the speed at which logs are written to the log collector’s disk. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników.In cases of congestion, the log collector starts to drop log files. Konfigurację ogólnie przekracza 50 GB na godzinę, zalecane jest podzielenie ruchu między wieloma modułami zbierającymi.If your setup generally exceeds 50 GB per hour, it's recommended to split the traffic between multiple log collectors.

Instalowanie i konfiguracjaSet up and configuration

  1. Przejdź na stronę ustawień automatycznego przekazywania:Go to the automated upload setting page:
    W portalu Cloud App Security kliknij ikonę ustawień ikonę ustawienia, a następnie zbierające.In the Cloud App Security portal, click the settings icon settings icon, followed by Log collectors.

  2. Utwórz pasujące źródło danych dla każdej zapory lub każdego serwera proxy, z którego chcesz przekazać dzienniki:For each firewall or proxy from which you want to upload logs, create a matching data source:

    a.a. Kliknij przycisk Dodaj źródło danych.Click Add data source.

    b.b. Nadaj nazwę serwerowi proxy lub zaporze.Name your proxy or firewall.

    c.c. Wybierz urządzenie z listy Źródło.Select the appliance from the Source list. Jeśli wybierzesz niestandardowy format dziennika do pracy z urządzenia sieciowego, który nie ma na liście, zobacz Praca z analizatora dzienników niestandardowych instrukcje konfiguracji.If you select Custom log format to work with a network appliance that isn't listed, see Working with the custom log parser for configuration instructions.

    d.d. Porównaj dziennik z przykładem dziennika w oczekiwanym formacie.Compare your log with the sample of the expected log format. Jeśli format Twojego pliku dziennika nie jest zgodna w tym przykładzie, należy dodać źródło danych jako innych.If your log file format doesn't match this sample, you should add your data source as Other.

    e.e. Dla opcji Typ odbiornika ustaw wartość FTP lub Syslog.Set the Receiver type to either FTP or Syslog. Aby uzyskać Syslog, wybierz UDP, TCP, lub TLS.For Syslog, choose UDP, TCP, or TLS.

    f.f. Kliknij przycisk Dodaj można zapisać źródła danych.Click Add to save the data source. Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. Przejdź na kartę Moduły zbierające dzienniki w górnej części portalu.Go to the Log collectors tab at the top.

    a.a. Kliknij przycisk Dodaj moduł zbierający dzienniki.Click Add log collector.

    b.b. Nadaj moduł zbierający nazwa.Give the log collector a Name.

    c.c. Zaznacz wszystko źródeł danych , którą chcesz nawiązać połączenie z modułem zbierającym.Select all Data sources that you want to connect to the collector. Kliknij przycisk aktualizacji Aby zapisać konfigurację i wygenerować token dostępu.Click Update to save the configuration and generate an access token.
    odnajdowanie źródeł danychdiscovery data sources

    Uwaga

    • Pojedynczy moduł zbierający dzienniki może obsłużyć wiele źródeł danych.A single Log collector can handle multiple data sources.
    • Skopiuj zawartość ekranu, ponieważ użyjesz go podczas konfigurowania zbierający nawiązać połączenia z usługą Cloud App Security.Copy the contents of the screen because you will use it when you configure the Log Collector to communicate with Cloud App Security. W przypadku wybrania protokołu Syslog te informacje zawierają informacje o port, który nasłuchuje odbiornik protokołu Syslog.If you selected Syslog, this information includes information about which port the Syslog listener is listening on.
  4. Jeśli zaakceptujesz postanowienia licencyjne użytkownika oprogramowania, Pobierz nową maszynę wirtualną modułu zbierającego dziennika, klikając na funkcji Hyper-V lub VMWare.If you accept the end-user license terms, Download a new log collector virtual machine by clicking on Hyper-V or VMWare. Następnie Rozpakuj plik przy użyciu hasła otrzymanego w portalu.Then, unzip the file using the password you received in the portal.

Krok 2 — Lokalne wdrażanie maszyny wirtualnej i konfiguracji sieciStep 2 – On-premises deployment of the virtual machine and network configuration

Uwaga

W poniższych krokach opisano wdrożenie funkcji Hyper-v.The following steps describe the deployment in Hyper-V. Kroki wdrażania funkcji hypervisor maszyn wirtualnych są nieco inne.The deployment steps for VM hypervisor are slightly different.

  1. Otwórz Menedżera funkcji Hyper-V.Open the Hyper-V Manager.

  2. Wybierz pozycję Nowa, a następnie pozycję Maszyna wirtualna i kliknij przycisk Dalej.Select New and then Virtual Machine and click Next.
    Odnajdywanie funkcji Hyper-V maszyny wirtualnejdiscovery Hyper-V virtual machine

  3. Podaj nazwę nowej maszyny wirtualnej, na przykład CloudAppSecurityLogCollector01, a następnie kliknij przycisk Dalej.Provide a Name for the new virtual machine, for example CloudAppSecurityLogCollector01.then click Next.

  4. Wybierz opcję Generacja 1 i kliknij przycisk Dalej.Select Generation 1 and click Next.

  5. Zmień wartość opcji Pamięć początkowa na 4096 MB.Change the Startup memory to 4096 MB.

  6. Zaznacz pole wyboru Użyj pamięci dynamicznej dla tej maszyny wirtualnej i kliknij przycisk Dalej.Check Use Dynamic Memory for this virtual machine and click Next.

  7. Jeśli to możliwe, wybierz połączenie sieciowe i kliknij przycisk Dalej.If available, choose the network Connection and click Next.

  8. Wybierz Użyj istniejącego wirtualnego dysku twardego.Choose Use an existing virtual hard disk. Wybierz VHD pliku zawierającego w pobranym pliku Zip.Select the .vhd file that was included in the Zip file you downloaded.

  9. Kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ.Click Next and then click Finish.
    Komputer zostanie dodany do środowiska funkcji Hyper-V.The machine is added to your Hyper-V environment.

  10. Kliknij tę maszynę w tabeli Maszyny wirtualne, a następnie kliknij przycisk Uruchom.Click on the machine in the Virtual Machines table and click Start.

  11. Połącz z maszyną wirtualną modułu zbierającego, aby zobaczyć, jeśli został przypisany adres DHCP: Kliknij maszynę wirtualną i wybierz pozycję Connect.Connect to the Log Collector virtual machine to see if it has been assigned a DHCP address: Click on the virtual machine and select Connect. Powinien zostać wyświetlony monit o zalogowanie.You should see the sign in prompt. Jeśli widoczny jest adres IP, to z maszyną wirtualną można nawiązać połączenie za pomocą narzędzia terminala lub protokołu SSH.If you see an IP address, then you can connect to the virtual machine using a terminal/SSH tool. Jeśli adres IP nie jest widoczny, zaloguj się przy użyciu narzędzi do nawiązywania połączenia funkcji Hyper-V/VMWare przy użyciu poświadczeń skopiowanych podczas utworzony wcześniej moduł zbierania danych dzienników.If you don't see an IP address, sign in using the Hyper-V/VMWare connection tools with the credentials you copied down when you created the Log Collector previously. Możesz zmienić hasło i skonfigurować maszynę wirtualną za pomocą narzędzia konfigurowania sieci, uruchamiając następujące polecenie:You can change the password and configure the virtual machine using the network configuration utility by running the following command:

    sudo network_config
    

    Uwaga

    Maszyna wirtualna jest wstępnie skonfigurowana w taki sposób, aby uzyskiwała adres IP z serwera DHCP.The virtual machine is pre-configured to obtain an IP address from a DHCP server. Jeśli musisz skonfigurować statyczny adres IP bramy domyślnej, nazwy hosta, serwery DNS i NTPS, można użyć network_config narzędzia lub wprowadzić zmiany ręcznie.If you need to configure a static IP address, default gateway, hostname, DNS servers, and NTPS, you can use the network_config utility or perform changes manually.

W tym momencie moduł zbierający dzienniki powinien być połączony z siecią i powinno być możliwe nawiązanie łączności z portalem usługi Cloud App Security.At this point, your log collector should be connected to your network and should be able to reach the Cloud App Security portal.

Krok 3 — Lokalna konfiguracja zbierania dziennikówStep 3 – On-premises configuration of the log collection

Po raz pierwszy, możesz zalogować się do modułu zbierającego i zaimportować konfigurację modułu zbierającego z portalu, w następujący sposób.The first time you sign in to the log collector and import the log collector's configuration from the portal, as follows.

  1. Zaloguj się do modułu zbierającego, za pomocą protokołu SSH przy użyciu poświadczeń administratora interaktywnego, udostępnionego w portalu.Sign in to the log collector over SSH using the Interactive admin credentials provided to you in the portal. (Jeśli jest to logowanie do konsoli programu po raz pierwszy, musisz zmienić hasło i zaloguj się ponownie po zmianie hasła.(If this is your first time logging in to the console, you'll need to change the password and sign in again after changing the password. Jeśli używasz sesji terminalowej, konieczne może być ponowne uruchomienie sesji terminalowej.If you're using a terminal session, you might need to restart the terminal session. ))

  2. Uruchom narzędzie konfiguracji modułu zbierającego przy użyciu tokenu dostępu udostępnionego podczas tworzenia modułu zbierającego dzienniki.sudo collector_config <access token>Run the collector config utility with the access token provided to you when you created the log collector.sudo collector_config <access token>

  3. Wprowadź domenę konsoli, na przykład: contoso.portal.cloudappsecurity.com Jest on dostępny z adresu URL, zostanie wyświetlony po zalogowaniu się do portalu usługi Cloud App Security.Enter your console domain, for example: contoso.portal.cloudappsecurity.com This is available from the URL you see after logging in to the Cloud App Security portal.

  4. Wprowadź nazwę modułu zbierającego dzienniki, który chcesz skonfigurować, na przykład: CloudAppSecurityLogCollector01 lub NewYork z poprzedniej ilustracji.Enter the name of the log collector you want to configure, for example: CloudAppSecurityLogCollector01 or NewYork from the preceding picture.

  5. Zaimportuj z portalu konfigurację modułu zbierającego dzienniki w następujący sposób:Import the log collector's configuration from the portal, as follows:

    a.a. Zaloguj się do modułu zbierającego, za pomocą protokołu SSH przy użyciu poświadczeń administratora interaktywnego, udostępnionego w portalu.Sign in to the log collector over SSH using the Interactive admin credentials provided to you in the portal.

    b.b. Uruchom narzędzie konfiguracji modułu zbierającego przy użyciu tokenu dostępu udostępnionego w poleceniu sudo collector_config \<access token>Run the collector config utility with the access token provided to you in the command sudo collector_config \<access token>

    c.c. Wprowadź domenę konsoli, na przykład: contoso.portal.cloudappsecurity.comEnter your console domain, for example: contoso.portal.cloudappsecurity.com

    d.d. Wprowadź nazwę modułu zbierającego dzienniki, który chcesz skonfigurować, na przykład:CloudAppSecurityLogCollector01Enter the name of the log collector you want to configure, for example:CloudAppSecurityLogCollector01

Krok 4 — Lokalna konfiguracja urządzeń sieciowychStep 4 - On-premises configuration of your network appliances

Skonfiguruj zapory sieciowe i serwery proxy tak, aby okresowo eksportowały dzienniki na dedykowany port Syslog katalogu FTP, zgodnie z instrukcjami wyświetlanymi w oknie dialogowym, na przykład:Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

 `London Zscaler - Destination path: 614`  

 BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\  

Krok 5 — Sprawdzenie w portalu usługi Cloud App Security, czy wdrożenie zostało wykonane pomyślnieStep 5 - Verify the successful deployment in the Cloud App Security portal

Sprawdź stan modułu zbierającego moduł zbierający tabeli i upewnij się, ma stan połączono.Check the collector status in the Log collector table and make sure the status is Connected. Jeśli ma on utworzono, jest możliwe, dziennik połączenia modułu zbierającego i analizy nie została zakończona.If it's Created, it's possible that the log collector connection and parsing haven't completed.

Stan modułu zbierającego dziennika

Przejdź do dziennika nadzoru i sprawdź, czy dzienniki są okresowo przekazywane do portalu.Go to the Governance log and verify that logs are being periodically uploaded to the portal.

Jeśli masz problemy podczas wdrażania, zobacz Rozwiązywanie problemów z rozwiązaniem Cloud Discovery.If you have problems during deployment, see Troubleshooting Cloud Discovery.

Opcjonalnie — tworzyć niestandardowe raporty ciągłeOptional - Create custom continuous reports

Po upewnieniu się, że dzienniki są przekazywane do usługi Cloud App Security i wygenerowaniu raportu, można tworzyć niestandardowe raporty.After you've verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Możesz teraz utworzyć odnajdywanie niestandardowe raporty na podstawie grup użytkowników usługi Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Na przykład, jeśli chcesz zobaczyć w chmurze, użyj działu marketingu można zaimportować grupy marketing, dzięki funkcji importowania grupy użytkowników i następnie utworzyć niestandardowy raport dla tej grupy.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. Można również dostosować raport, w oparciu o tag adresu IP lub zakres adresów IP.You can also customize a report based on IP address tag or IP address ranges.

  1. W portalu usługi Cloud App Security w obszarze przypominającą koło zębate wybierz ustawienia funkcji Cloud Discovery, a następnie wybierz pozycję raportów ciągłych.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings, and then select Continuous reports.
  2. Kliknij przycisk Utwórz raport przycisk, a następnie wypełnij pola.Click the Create report button and fill in the fields.
  3. W obszarze filtry źródła danych, można filtrować według zaimportowana grupa użytkowników, lub adres IP znaczniki i zakresy.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Uwaga

Wszystkie raporty niestandardowe są ograniczone do maksymalnie 1 GB nieskompresowanych danych.All custom reports are limited to a maximum of 1 GB of uncompressed data. Jeśli istnieje więcej niż 1 GB danych, pierwszy 1 GB danych zostaną wyeksportowane do raportu.If there is more than 1 GB of data, the first 1 GB of data will be exported into the report.

Niestandardowe raporty ciągłe

Następne krokiNext steps

Praca z danymi rozwiązania Cloud DiscoveryWorking with Cloud Discovery data

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.