Docker på Windows lokaltDocker on Windows on-premises

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Du kan konfigurera automatisk logg uppladdning för kontinuerliga rapporter i Cloud App Security att använda en Docker i Windows.You can configure automatic log upload for continuous reports in Cloud App Security using a Docker on Windows.

KravPrerequisites

  • Operativsystem:OS:

    • Windows 10 (uppdatering av uppdaterings skapare)Windows 10 (fall creators update)
    • Windows Server version 1709 + (SAC)Windows Server version 1709+ (SAC)
    • Windows Server 2019 (LTSC)Windows Server 2019 (LTSC)
  • Diskutrymme: 250 GBDisk space: 250 GB

  • CPU: 2CPU: 2

  • RAM: 4 GBRAM: 4 GB

  • Ange brand väggen enligt beskrivningen i nätverks kravSet your firewall as described in Network requirements

  • Virtualisering på operativ systemet måste aktive ras med Hyper-VVirtualization on the operating system must be enabled with Hyper-V

Viktigt

  • En användare måste vara inloggad för att Docker ska kunna samla in loggar.A user must be signed in for Docker to collect logs. Vi rekommenderar att du uppmanar Docker-användarna att koppla från utan att logga ut.We recommend advising your Docker users to disconnect without signing out.
  • Docker för Windows stöds inte officiellt i scenarier med VMWare-virtualisering.Docker for Windows is not officially supported in VMWare virtualization scenarios.
  • Docker för Windows stöds inte officiellt i kapslade virtualiseringslösningar.Docker for Windows is not officially supported in nested virtualization scenarios. Om du fortfarande planerar att använda kapslad virtualisering läser du Docker-guidens offentliga guide.If you still plan to use nested virtualization, refer to Docker's official guide.

Anteckning

Om du har en befintlig logg insamlare och vill ta bort den innan du distribuerar den igen, eller om du bara vill ta bort den, kör du följande kommandon:If you have an existing log collector and want to remove it before deploying it again, or if you simply want to remove it, run the following commands:

docker stop <collector_name>
docker rm <collector_name>

Logginsamlarens prestandaLog collector performance

Logginsamlaren kan hantera en loggkapacitet på upp till 50 GB per timme.The Log collector can successfully handle log capacity of up to 50 GB per hour. De största flaskhalsarna i logginsamlingsprocessen är:The main bottlenecks in the log collection process are:

  • Nätverks bandbredd – nätverks bandbredden avgör uppladdnings hastigheten för loggen.Network bandwidth - Your network bandwidth determines the log upload speed.

  • I/O-prestanda för den virtuella datorn – avgör i vilken hastighet loggarna skrivs till logg insamlarens disk.I/O performance of the virtual machine - Determines the speed at which logs are written to the log collector's disk. Logginsamlaren har en inbyggd säkerhetsmekanism som övervakar i vilken takt loggarna tas emot och som jämför den med uppladdningstakten.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. Om det uppstår överbelastning börjar logginsamlaren släppa loggfiler.In cases of congestion, the log collector starts to drop log files. Om installationen normalt överskrider 50 GB per timme, rekommenderar vi att du delar upp trafiken mellan flera logg insamlare.If your setup typically exceeds 50 GB per hour, it's recommended that you split the traffic between multiple log collectors.

Inställning och konfigureringSet up and configuration

  1. Gå till sidan Inställningar för Automatisk logg uppladdning .Go to the Automatic log upload settings page.

    1. I Cloud App Security-portalen klickar du på ikonen Inställningar följt av logg insamlare.In the Cloud App Security portal, click the settings icon followed by Log collectors.

    inställnings ikon

  2. Skapa en matchande data källa för varje brand vägg eller proxyserver som du vill ladda upp loggar från.For each firewall or proxy from which you want to upload logs, create a matching data source.

    1. Klicka på Lägg till datakälla.Click Add data source.
      Lägga till en datakällaAdd a data source
    2. Ge proxyservern eller brandväggen ett namn.Name your proxy or firewall.
      Lägg till namn för data KällaAdd name for data source
    3. Välj enheten från listan Källa.Select the appliance from the Source list. Om du väljer anpassat logg format för att arbeta med en nätverks enhet som inte finns med i listan, se arbeta med den anpassade logg parsern för konfigurations anvisningar.If you select Custom log format to work with a network appliance that isn't listed, see Working with the custom log parser for configuration instructions.
    4. Jämför din logg med exemplet på det förväntade loggformatet.Compare your log with the sample of the expected log format. Om logg fils formatet inte matchar det här exemplet bör du lägga till din data källa som en annan.If your log file format doesn't match this sample, you should add your data source as Other.
    5. Ställ in mottagar typenFTP, FTPS, syslog – UDP eller syslog – TCP eller syslog – TLS.Set the Receiver type to either FTP, FTPS, Syslog – UDP, or Syslog – TCP, or Syslog – TLS.

    Anteckning

    Integrering med protokoll för säker överföring (FTPS och syslog – TLS) kräver ofta ytterligare inställningar eller brand vägg/proxy.Integrating with secure transfer protocols (FTPS and Syslog – TLS) often requires additional settings or your firewall/proxy.

    f.f. Upprepa den här proceduren för alla brandväggar och proxyservrar vars loggar kan användas för att identifiera trafik i ditt nätverk.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network. Vi rekommenderar att du konfigurerar en dedikerad data källa per nätverks enhet så att du kan:It's recommended to set up a dedicated data source per network device to enable you to:

    • Övervaka statusen för varje enhet separat, i undersöknings syfte.Monitor the status of each device separately, for investigation purposes.
    • Utforska Shadow IT Discovery per enhet, om varje enhet används av ett annat användar segment.Explore Shadow IT Discovery per device, if each device is used by a different user segment.
  3. Gå till fliken Logginsamlare längst upp.Go to the Log collectors tab at the top.

    1. Klicka på Lägg till logginsamlare.Click Add log collector.
    2. Ge logginsamlaren ett namn.Give the log collector a name.
    3. Ange värd-IP-adressen för den dator som du ska använda för att distribuera Docker.Enter the Host IP address of the machine you'll use to deploy the Docker. Värd-IP-adressen kan ersättas med dator namnet, om det finns en DNS-server (eller motsvarande) som ska matcha värd namnet.The host IP address can be replaced with the machine name, if there is a DNS server (or equivalent) that will resolve the host name.
    4. Välj alla data källor som du vill ansluta till insamlaren och klicka på Uppdatera för att spara konfigurationen.Select all Data sources that you want to connect to the collector, and click Update to save the configuration. Välj data källa som ska anslutasSelect data source to connect
  4. Ytterligare distributions information kommer att visas.Further deployment information will appear. Kopiera körnings kommandot från dialog rutan.Copy the run command from the dialog. Du kan använda ikonen Kopiera till Urklipp,  Kopiera till Urklipp-ikonen .You can use the copy to clipboard icon, copy to clipboard icon. Du kommer att behöva detta senare.You will need this later.

  5. Exportera den förväntade data käll konfigurationen.Export the expected data source configuration. Den här konfigurationen beskriver hur du ställer in logg exporten i dina enheter.This configuration describes how you should set the log export in your appliances.

    Skapa logg insamlare

    Anteckning

    • En enda logginsamlare kan hantera flera datakällor.A single Log collector can handle multiple data sources.
    • Kopiera innehållet på skärmen eftersom du behöver information när du konfigurerar logginsamlaren för att kommunicera med Cloud App Security.Copy the contents of the screen because you will need the information when you configure the Log Collector to communicate with Cloud App Security. Om du har valt Syslog innehåller informationen här information om vilken port Syslog-lyssnaren lyssnar på.If you selected Syslog, this information will include information about which port the Syslog listener is listening on.
    • För användare som skickar logg data via FTP för första gången rekommenderar vi att du ändrar lösen ordet för FTP-användaren.For users sending log data via FTP for the first time, we recommend changing the password for the FTP user. Mer information finns i ändra FTP-lösenordet.For more information, see Changing the FTP password.

Steg 2 – lokal distribution av datornStep 2 – On-premises deployment of your machine

Följande steg beskriver distributionen i Windows.The following steps describe the deployment in Windows. Distributions stegen för andra plattformar skiljer sig något åt.The deployment steps for other platforms are slightly different.

  1. Öppna en PowerShell-Terminal som administratör på din Windows-dator.Open a PowerShell terminal as an administrator on your Windows machine.

  2. Kör följande kommando för att hämta installations programmet för Windows Docker PowerShell-skript filen: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)Run the following command to download the Windows Docker installer PowerShell script file: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Om du vill kontrol lera att installations programmet har signerats av Microsoft, se Verifiera installations programmets signaturTo validate that the installer is signed by Microsoft, see Validate installer signature

  3. Aktivera körning av PowerShell-skript genom att köra Set-ExecutionPolicy RemoteSignedTo enable PowerShell script execution, run Set-ExecutionPolicy RemoteSigned

  4. Kör: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Detta installerar Docker-klienten på datorn.Run: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) This installs the Docker client on your machine. När logg insamlarens behållare är installerad startas datorn om två gånger och du måste logga in igen.While the log collector container is installed, the machine will be restarted twice and you will have to log in again. Kontrol lera att Docker-klienten är inställd på att använda Linux-behållare.Make sure the Docker client is set to use Linux containers.

  5. Efter varje omstart öppnar du en PowerShell-Terminal som administratör på din dator, kör igen: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)After each restart, open a PowerShell terminal as an administrator on your machine, re-run: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

  6. Innan installationen är klar måste du klistra in det Kör-kommando som du kopierade tidigare.Before the installation completes, you will have to paste in the run command you copied earlier.

  7. Distribuera Collector-avbildningen på värd datorn genom att importera insamlings konfigurationen.Deploy the collector image on the hosting machine by importing the collector configuration. Importera konfigurationen genom att kopiera körnings kommandot som genereras i portalen.Import the configuration by copying the run command generated in the portal. Om du behöver konfigurera en proxyserver lägger du till proxy-IP-adressen och port numret.If you need to configure a proxy, add the proxy IP address and port number. Om din proxyinformation till exempel är 192.168.10.1:8080, är det uppdaterade körnings kommandot:For example, if your proxy details are 192.168.10.1:8080, your updated run command is:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Skapa logg insamlare

  8. Verifiera att insamlaren körs korrekt med följande kommando: docker logs <collector_name>Verify that the collector is running properly with the following command: docker logs <collector_name>

Du bör se meddelandet: har slutförts!You should see the message: Finished successfully!

Verifiera att insamlaren körs korrekt

Steg 3 – lokal konfiguration av dina nätverks enheterStep 3 - On-premises configuration of your network appliances

Konfigurera dina nätverks brand väggar och proxyservrar så att de regelbundet exporterar loggar till en dedikerad syslog-port för FTP-katalogen enligt anvisningarna i dialog rutan.Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog. Exempel:For example:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Steg 4 – kontrol lera att distributionen har slutförts i Cloud App Securitys portalenStep 4 - Verify the successful deployment in the Cloud App Security portal

Kontrol lera insamlarens status i logg insamlarens tabell och se till att statusen är ansluten.Check the collector status in the Log collector table and make sure the status is Connected. Om den har skapats är det möjligt att logg insamlarens anslutning och parsningen inte har slutförts.If it's Created, it's possible the log collector connection and parsing haven't completed.

Verifiera att insamlaren har distribuerats

Du kan också gå till styrnings loggen och kontrol lera att loggar regelbundet laddas upp till portalen.You can also go to the Governance log and verify that logs are being periodically uploaded to the portal.

Du kan också kontrol lera logg insamlarens status från Docker-behållaren med följande kommandon:Alternatively, you can check the log collector status from within the docker container using the following commands:

  1. Logga in på behållaren med det här kommandot: docker exec -it <Container Name> bashLog in to the container by using this command: docker exec -it <Container Name> bash
  2. Verifiera logg insamlarens status med följande kommando: collector_status -pVerify the log collector status using this command: collector_status -p

Om du har problem under distributionen kan du läsa fel sökning Cloud Discovery.If you have problems during deployment, see Troubleshooting Cloud Discovery.

Valfria – skapa anpassade kontinuerliga rapporter Optional - Create custom continuous reports

Verifiera att loggarna överförs till Cloud App Security och att rapporter skapas.Verify that the logs are being uploaded to Cloud App Security and that reports are generated. När du har verifierat skapar du anpassade rapporter.After verification, create custom reports. Du kan skapa anpassade identifierings rapporter baserat på Azure Active Directory användar grupper.You can create custom discovery reports based on Azure Active Directory user groups. Om du till exempel vill se moln användningen för marknadsförings avdelningen importerar du marknadsförings gruppen med hjälp av funktionen Importera användar grupp.For example, if you want to see the cloud use of your marketing department, import the marketing group using the import user group feature. Skapa sedan en anpassad rapport för den här gruppen.Then create a custom report for this group. Du kan också anpassa en rapport baserat på IP-adressens tagg eller IP-adressintervall.You can also customize a report based on IP address tag or IP address ranges.

  1. I Cloud App Security Portal väljer du Cloud Discovery inställningar under Inställningar kugg hjuls och väljer sedan kontinuerliga rapporter.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings, and then select Continuous reports.

  2. Klicka på knappen Skapa rapport och fyll i fälten.Click the Create report button and fill in the fields.

  3. Under filtren kan du filtrera data efter data källa genom att Importera användar gruppeller IP-adressprefix och intervall.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

    Anpassad kontinuerlig rapport

Valfri – verifiera installations program signatur Optional - Validate installer signature

För att se till att Docker-installations programmet är signerat av Microsoft:To make sure that the docker installer is signed by Microsoft:

  1. Högerklicka på filen och välj Egenskaper.Right click on the file and select Properties.

  2. Klicka på digitala signaturer och kontrol lera att den här digitala signaturen är OK.Click on Digital Signatures and make sure that it says This digital signature is OK.

  3. Se till att Microsoft Corporation visas som den enda posten under namn på undertecknare.Make sure that Microsoft Corporation is listed as the sole entry under Name of signer.

    Digital signatur giltig

Om den digitala signaturen inte är giltig, kommer den här digitala signaturen att vara ogiltig:If the digital signature is not valid, it will say This digital signature is not valid:

Den digitala signaturen är inte giltig

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.