Gestão avançada do recoletor de registos
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Este artigo fornece informações sobre as seguintes opções avançadas de configuração para Cloud App Security colecionadores de registo Cloud Discovery:
- Modificar a configuração FTP do colecionador de registos
- Ativar o colecionador de registo por trás de um proxy
- Mover o colecionador de registos para uma partição de dados diferente no Linux
- Inspecione a utilização do disco de colecionador de registos no Linux
- Mova o colecionador de registo para um anfitrião acessível
- Defina portas personalizadas para recetores Syslog e FTP para colecionadores de registos em Linux
- Validar o formato de tráfego e registo recebido pelo colecionador de registos no Linux
Modificar a configuração FTP do colecionador de registos
Utilize estes passos para modificar a configuração para o seu Cloud App Security Cloud Discovery Docker.
Implantação de estivador
Pode ser necessário modificar a configuração para o Cloud App Security Cloud Discovery Docker.
Alterar a palavra-passe de FTP
Ligação ao anfitrião do colecionador de registos.
Executar
docker exec -it <collector name> pure-pw passwd <ftp user>- Insira a nova senha.
- Introduza nova palavra-passe novamente para confirmação.
Corra
docker exec -it <collector name> pure-pw mkdbpara aplicar a mudança.
Personalizar ficheiros de certificados
Siga este procedimento para personalizar os ficheiros de certificado que utiliza para ligações seguras ao Cloud Discovery Docker.
Abra um cliente FTP e ligue-se ao colecionador de registos.

Navegue para o
ssl_updatediretório.Faça o upload de novos ficheiros de certificados para o
ssl_updatediretório (os nomes são obrigatórios).
- Para a FTP: Só é necessário um ficheiro. O ficheiro tem os dados da chave e do certificado, por essa ordem, e é nomeado pure-ftpd.pem.
- Para Syslog: São necessários três ficheiros: **ca.pem,****server-key.pem e server-cert.pem. Se algum dos ficheiros estiver em falta, a atualização não será efetuada.
Numa janela terminal:
docker exec -t <collector name> update_certs. O comando deve produzir uma saída semelhante à que é vista na imagem seguinte.
Numa janela terminal:
docker exec <collector name> chmod -R 700 /etc/ssl/private/.
Ativar o colecionador de registo por trás de um proxy
Depois de configurar o colecionador de registos, se estiver a correr atrás de um representante, o colecionador de registos pode ter problemas em enviar dados para Cloud App Security. Isto pode acontecer porque o colecionador de registos não confia na autoridade de certificados de raiz do proxy e não é capaz de se conectar a Microsoft Cloud App Security para recuperar a sua configuração ou carregar os registos recebidos.
Utilize estes passos para ativar o seu colecionador de registos atrás de um representante.
Nota
Para obter informações sobre como alterar os certificados utilizados pelo colecionador de registos para Syslog ou FTP, e para resolver problemas de conectividade das firewalls e proxies para o colecionador de registos, consulte Modificar a configuração FTP do colecionador de registos.
Configurar o colecionador de registos por trás de um proxy
Certifique-se de que executou os passos necessários para executar Docker numa máquina de Windows ou Linux e descarregue com sucesso a imagem do Cloud App Security Docker na máquina. Para obter mais informações, consulte o upload automático de registos de configuração para obter relatórios contínuos.
Validar a criação de recipiente de coletor de madeira de estivador
Na concha, verifique se o contentor foi criado e está em funcionamento utilizando o seguinte comando:
docker ps

Copiar certificado de CA raiz de proxy para o recipiente
Da sua máquina virtual, copie o certificado de AC para o recipiente Cloud App Security. No exemplo seguinte, o recipiente chama-se Ubuntu-LogCollector e o certificado ca chama-se Proxy-CA.crt. Executar o comando no anfitrião Ubuntu. Copia o certificado a uma pasta no recipiente de funcionamento:
docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery
Desa cos para trabalhar com o certificado de CA
Entre no recipiente, utilizando o seguinte comando. Abrirá a festa no recipiente do coletor de madeira:
docker exec -it Ubuntu-LogCollector /bin/bashDe uma janela de festa dentro do recipiente, vá para a
jrepasta Java. Para evitar um erro de percurso relacionado com a versão, utilize este comando:cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)" cd binImporte o certificado de raiz que copiou anteriormente, da pasta de descoberta para a Loja De Chaves de Java e defina uma palavra-passe. A palavra-passe padrão é "changeit". Para obter informações sobre a alteração da palavra-passe, consulte Como alterar a palavra-passe Java KeyStore.
./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>Validar que o certificado foi importado corretamente para a loja de chaves CA, utilizando o seguinte comando para procurar o pseudónimo que forneceu durante a importação (SelfSignedCert):
./keytool --list --keystore ../lib/security/cacerts | grep self
Devia ver o certificado de procuração importado.
Desa estaride o colecionador de registos para executar com a nova configuração
O contentor está pronto.
Executar o comando collector_config utilizando o token API que usou durante a criação do seu colecionador de registos:

Quando executar o comando, especifique o seu próprio token API:
collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

O colecionador de registos é agora capaz de comunicar com Cloud App Security. Após o envio de dados, o estado passará de Saudável para Conectado no portal Cloud App Security.

Nota
Se tiver de atualizar a configuração do colecionador de registos, para adicionar ou remover uma fonte de dados, por exemplo, normalmente tem de apagar o recipiente e executar novamente os passos anteriores. Para evitar isto, pode recorrê-la na ferramenta collector_config com o novo token API gerado no portal Cloud App Security.
Como alterar a palavra-passe Java KeyStore
- Pare o servidor Java KeyStore.
Abra uma casca de bata no interior do recipiente e vá para a pasta appdata/conf.
Altere a palavra-passe KeyStore do servidor utilizando este comando:
keytool -storepasswd -new newStorePassword -keystore server.keystore -storepass changeitNota
A palavra-passe do servidor predefinido é changeit.
Altere a palavra-passe do certificado utilizando este comando:
keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePasswordNota
O pseudónimo do servidor predefinido é servidor.
Num editor de texto, abra o ficheiro de propriedades instalado\conf\server\secureed.properties e, em seguida, adicione as seguintes linhas de código e, em seguida, guarde as alterações:
- Especifique a nova palavra-passe Java KeyStore para o servidor:
server.keystore.password=newStorePassword - Especifique a nova senha de certificado para o servidor:
server.key.password=newKeyPassword
- Especifique a nova palavra-passe Java KeyStore para o servidor:
Inicie o servidor.
Mover o colecionador de registos para uma partição de dados diferente no Linux
Muitas empresas têm a obrigação de mover dados para uma divisão separada. Use estes passos para mover as imagens de Cloud App Security Docker para uma partição de dados no seu anfitrião Linux.
Os passos seguintes descrevem a deslocação de dados para uma partição chamada datastore e assume que já montou a partição.
Nota
Adicionar e configurar uma nova partição no seu anfitrião Linux não está no âmbito deste guia.

Parar o serviço Docker utilizando este comando:
service docker stopMover os dados do colecionador de registos para a nova partição utilizando este comando:
mv /var/lib/docker /datastore/dockerRemova o antigo diretório de armazenamento docker (/var/lib/docker) e crie uma ligação simbólica com o novo diretório (/datastore/docker).
rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/Inicie o serviço Docker utilizando este comando:
service docker startVerifique opcionalmente o estado do seu coletor de registo utilizando este comando:
docker ps
Inspecione a utilização do disco de colecionador de registos no Linux
Utilize estes passos para rever o uso e localização do disco do seu colecionador de registos.
Identifique o caminho para o diretório onde os dados do colecionador de registos são armazenados utilizando este comando:
docker inspect <collector_name> | grep WorkDir
Obtenha o tamanho do disco do colecionador de registos utilizando o caminho identificado sem o sufixo "/trabalho":
du -sh /var/lib/docker/overlay2/<log_collector_id>/
Nota
Se precisar de saber o tamanho do disco, pode utilizar este comando:
docker ps -s
Mova o colecionador de registo para um anfitrião acessível
Em ambientes regulados, o acesso aos Hubs Docker onde a imagem do colecionador de registos está hospedada pode ser bloqueado. Isto impede Cloud App Security de importar os dados do colecionador de registos e pode ser resolvido a minha deslocação da imagem do colecionador de registos para um hospedeiro acessível.
Use estes passos para descarregar a imagem do colecionador de registos usando um computador que tenha acesso ao Docker Hub e importá-lo para o seu anfitrião de destino.
Nota
- A imagem descarregada pode ser importada no seu repositório privado ou diretamente no seu anfitrião. Os passos a seguir guiam-no através do download da sua imagem de colecionador de registos para o seu computador Windows e, em seguida, utiliza o WinSCP para mover o colecionador de registos para o seu anfitrião de destino.
- Para instalar o Docker no seu anfitrião, descarregue o sistema operativo pretendido:
Após o download, utilize o guia de instalação offline para instalar o seu sistema operativo.
Inicie o processo exportando a imagem do colecionador de registos e, em seguida, importe a imagem para o seu anfitrião de destino.
Exporte a imagem do colecionador de registos do seu Docker Hub
Utilize os passos relevantes para o sistema operativo do Docker Hub onde está localizada a imagem do coletor de registos.
Exportando a imagem em Linux
Num computador Linux que tem acesso ao Docker Hub, executar o seguinte comando. Isto irá instalar o Docker e descarregar a imagem do colecionador de registos.
curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.shExporte a imagem do colecionador de registos.
docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector chmod +r /tmp/mcasLC.tarNota
É importante usar o parâmetro de saída para escrever num ficheiro, em vez de STDOUT.
Descarregue a imagem do colecionador de registos para o seu computador Windows
C:\mcasLogCollector\utilizando o WinSCP.
Exportando a imagem em Windows
Num computador Windows 10 que tenha acesso ao Docker Hub, instale o Docker Desktop.
Descarregue a imagem do colecionador de registos.
docker login -u caslogcollector -p C0llector3nthusiast docker pull mcr.microsoft/mcas/logcollectorExporte a imagem do colecionador de registos.
docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollectorNota
É importante usar o parâmetro de saída para escrever num ficheiro, em vez de STDOUT.
Importe e carregue a imagem do colecionador de registos para o seu anfitrião de destino
Utilize estes passos para transferir a imagem exportada para o seu anfitrião de destino.
Faça o upload da imagem do colecionador de registos para o anfitrião do seu destino em
/tmp/.
No anfitrião do destino, importe a imagem do colecionador de registos para o repositório de imagens Docker utilizando este comando:
docker load --input /tmp/mcasLC.tar
Opcionalmente, verifique se a importação foi concluída com sucesso utilizando este comando:
docker image ls
Pode agora proceder à criação do seu colecionador de registos utilizando a imagem do anfitrião do destino.
Defina portas personalizadas para recetores Syslog e FTP para colecionadores de registos em Linux
Algumas organizações têm a obrigação de definir portas personalizadas para serviços Syslog e FTP. Ao adicionar uma fonte de dados, Cloud App Security os colecionadores de registos utilizam números de porta específicos para ouvir registos de tráfego de uma ou mais fontes de dados.
As seguintes listas de tabelas das portas de audição predefinidos para recetores:
| Tipo recetor | Portas |
|---|---|
| Syslog | * UDP/514 - UDP/51x * TCP/601 - TCP/60x |
| FTP | * TCP/21 |
Utilize estes passos para definir portas personalizadas.
Em Cloud App Security, clique no ícone de definições seguido de Colecionadores de Log.
No separador 'Recí contar' com o registo, adicione ou edite um colecionador de registos e, após a atualização das fontes de dados, copie o comando de execução a partir do diálogo.

Nota
Se utilizado conforme fornecido, o seguinte assistente fornecido configura o coletor de registo para utilizar as portas 514/udp e 515/udp.
(echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Antes de utilizar o comando na sua máquina de anfitrião, modifique o comando para utilizar as suas portas personalizadas. Por exemplo, para configurar o colecionador de madeira para utilizar as portas UDP 414 e 415, altere o comando da seguinte forma:
(echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Nota
Só o mapeamento do Docker é modificado. As portas internamente atribuídas não são alteradas permitindo-lhe escolher qualquer porta de audição no hospedeiro.
Validar o formato de tráfego e registo recebido pelo colecionador de registos no Linux
Ocasionalmente, poderá ter de investigar questões como:
- Os colecionadores de registos estão a receber dados: Valide que os colecionadores de registos estão a receber mensagens Syslog dos seus aparelhos e não estão bloqueados por firewalls.
- Os dados recebidos estão no formato correto de registo: Valide o formato de registo para ajudá-lo a resolver erros de análise de problemas, comparando o formato de registo esperado por Cloud App Security e o enviado pelo seu aparelho.
Utilize estes passos para validar o tráfego recebido pelos colecionadores de registos.
Inscreva-se no seu servidor que acolhe o contentor Docker.
Validar que o colecionador de registos está a receber mensagens Syslog utilizando qualquer um dos seguintes métodos:
Utilizando o tcpdump, ou comando semelhante para analisar o tráfego de rede na porta 514:
tcpdump -Als0 port 514Se tudo estiver corretamente configurado, deve ver o tráfego de rede dos seus aparelhos.

Utilizando o netcat, ou comando semelhante para analisar o tráfego de rede na máquina hospedeira:
Instale netcat e wget.
Descarregue, e se necessário unzip, um registo de amostra, da seguinte forma:
- No portal Cloud App Security, clique em Descobrir e, em seguida, clique em Criar relatório instantâneo.
- Selecione a Origem de dados a partir da qual quer carregar os ficheiros de registo.
- Clique em Ver e verifique o clique direito Descarregue o registo de amostras e copie o link de endereço URL.
- Clique em Fechar.
- Clique em Cancelar.
wget <URL_address_to_sample_log>- Corra
netcatpara transmitir os dados para o colecionador de registos.
cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>Se o colecionador estiver corretamente configurado, os dados de registo estarão presentes no ficheiro de mensagens e pouco tempo depois serão enviados para o portal Cloud App Security.
Inspecionando ficheiros relevantes no Cloud App Security estivador:
- Faça login no recipiente utilizando este comando:
docker exec -it <Container Name> bash- Determine se as mensagens Syslog estão a ser escritas para o ficheiro de mensagens utilizando este comando:
cat /var/adallom/syslog/<your_log_collector_port>/messagesSe tudo estiver corretamente configurado, deve ver o tráfego de rede dos seus aparelhos.
Nota
Este ficheiro continuará a ser escrito até atingir os 40 KB de tamanho.

Rever registos que foram enviados para Cloud App Security no
/var/adallom/discoverylogsbackupdiretório.
Validar o formato de registo recebido pelo colecionador de registos comparando as mensagens armazenadas no
/var/adallom/discoverylogsbackupformato de registo de amostras fornecidas no Cloud App Security Criar assistente de recário de registo.
Nota
Se pretender utilizar o seu próprio registo de amostras mas não tiver acesso ao aparelho, utilize os seguintes comandos para escrever a saída do ficheiro de mensagens (localizado no diretório de syslog do og collector) para um ficheiro local no anfitrião.
docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log
Compare o ficheiro de saída /tmp/log.log () com as mensagens armazenadas em /var/adallom/discoverylogsbackup .
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.