Konfigurera automatisk överföring av loggar för kontinuerlig rapportering

Med hjälp av logginsamlare kan du enkelt automatisera logguppladdningen från nätverket. Logginsamlaren körs i nätverket och tar emot loggar via Syslog eller FTP. Varje logg bearbetas, komprimeras och överförs automatiskt till portalen. FTP-loggar laddas upp till Microsoft Defender för molnet-appar när filen har slutfört FTP-överföringen till logginsamlaren. För Syslog skriver logginsamlaren de mottagna loggarna till disken. Sedan laddar insamlaren upp filen till Defender för molnet Apps när filstorleken är större än 40 KB.

När en logg har laddats upp till Defender för molnet Apps flyttas den till en säkerhetskopieringskatalog. Säkerhetskopieringskatalogen lagrar de senaste 20 loggarna. När nya loggar tas bort tas de gamla bort. När logginsamlarens diskutrymme är fullt släpper logginsamlaren nya loggar tills det har mer ledigt diskutrymme (detta bör inte inträffa om kraven uppfylls korrekt). Du får en varning på fliken Logginsamlare i inställningarna för att ladda upp loggar automatiskt när detta händer.

Innan du konfigurerar automatisk loggfilsamling kontrollerar du att loggen matchar den förväntade loggtypen. Du vill se till att Defender för molnet Apps kan parsa din specifika fil. Mer information finns i Använda trafikloggar för Cloud Discovery.

Kommentar

• Defender för molnet Apps ger stöd för vidarebefordran av loggar från SIEM-servern till logginsamlaren förutsatt att loggarna vidarebefordras i sitt ursprungliga format. Vi rekommenderar dock starkt att du integrerar logginsamlaren direkt med brandväggen och/eller proxyn.
• Logginsamlaren komprimerar data innan de laddas upp. Utgående trafik på logginsamlaren är 10 % av storleken på de trafikloggar som den tar emot.
• Om logginsamlaren stöter på problem får du en avisering efter att data inte tagits emot på 48 timmar.

Förutsättningar

• Diskutrymme 250 GB
• CPU-kärnor: 2
• CPU-arkitektur: Intel® 64 och AMD 64
• RAM: 4 GB
• Ange brandväggen enligt beskrivningen i Nätverkskrav

Kommentar

Om du har en befintlig logginsamlare och vill ta bort den innan du distribuerar den igen, eller om du bara vill ta bort den, kör du följande kommandon:

docker stop <collector_name>

docker rm <collector_name>

Kommentar

Om du vill installera en ny logginsamlareversion måste du stoppa logginsamlaren, ta bort den aktuella avbildningen och installera den nya.

Logginsamlarens prestanda

Logginsamlaren kan hantera en loggkapacitet på upp till 50 GB per timme. De största flaskhalsarna i logginsamlingsprocessen är:

• Nätverksbandbredd – Nätverksbandbredden avgör logguppladdningshastigheten.
• I/O-prestanda för den virtuella datorn – Avgör hastigheten med vilken loggar skrivs till logginsamlarens disk. Logginsamlaren har en inbyggd säkerhetsmekanism som övervakar i vilken takt loggarna tas emot och som jämför den med uppladdningstakten. Om det uppstår överbelastning börjar logginsamlaren släppa loggfiler. Om konfigurationen vanligtvis överskrider 50 GB per timme rekommenderar vi att du delar upp trafiken mellan flera logginsamlare.

Relaterat innehåll

Logginsamlaren stöder distributionsläget container . Mer information finns i:

• Konfigurera automatisk logguppladdning med lokal Docker i Windows
• Konfigurera automatisk logguppladdning med Podman
• Konfigurera automatisk logguppladdning med Docker i Azure

Nästa steg

Arbeta med Cloud Discovery-data