Podman kullanarak otomatik günlük yüklemeyi yapılandırma (Önizleme)
Not
Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketindeki sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft Defender XDR. Daha fazla bilgi için bkz. Microsoft Defender XDR'de uygulamalar Bulut için Microsoft Defender.
Bu makalede, şirket içi bir sunucuda Linux üzerinde Podman kapsayıcısı kullanarak Bulut için Defender Uygulamalarında sürekli raporlar için otomatik günlük yüklemenin nasıl yapılandırıldığı açıklanır. RHEL 7.1 veya üzerini kullanan müşterilerin otomatik günlük toplama için Podman kullanması gerekir.
Önkoşullar
Başlamadan önce:
- RHEL 7.1 ve üzeri bir kapsayıcı kullandığınızdan emin olun.
- Docker ve Podman aynı makinede birlikte bulunamadığından, Podman'ı çalıştırmadan önce docker yüklemelerini kaldırdığınızdan emin olun.
- Podman'ı dağıtmak için RHEL makinesinde kullanıcı
rootolarak oturum açtığınızdan emin olun
Kurulum ve yapılandırma
Microsoft Defender XDR'de oturum açın ve Cloud Apps > Cloud Discovery > Otomatik günlük yükleme Ayarlar > seçin.
Veri kaynakları sekmesinde tanımlanmış bir veri kaynağınız olduğundan emin olun. Eklemezseniz, veri kaynağı ekle'yi seçerek veri kaynağı ekleyin.
Kiracınızda dağıtılan tüm günlük toplayıcılarını listeleyen Günlük toplayıcıları sekmesini seçin.
Günlük toplayıcı ekle bağlantısını seçin. Ardından, Günlük toplayıcı oluştur iletişim kutusuna şunu girin:
Alan Veri Akışı Açıklaması Adı Günlük toplayıcısının kullandığı iç adlandırma standardınız veya site konumunuz gibi anahtar bilgilerine göre anlamlı bir ad girin. Ana bilgisayar IP adresi veya FQDN Günlük toplayıcınızın konak makinesini veya sanal makine (VM) IP adresini girin. Syslog hizmetinizin veya güvenlik duvarınızın girdiğiniz IP adresine / FQDN'ye erişebildiğinden emin olun. Veri kaynakları Kullanmak istediğiniz veri kaynağını seçin. Birden çok veri kaynağı kullanıyorsanız, günlük toplayıcısının verileri tutarlı bir şekilde göndermeye devam edebilmesi için seçilen kaynak ayrı bir bağlantı noktasına uygulanır.
Örneğin, aşağıdaki listede veri kaynağı ve bağlantı noktası birleşimleri örnekleri gösterilmektedir:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Özel durumunuzla ilgili ekranda daha fazla yönerge göstermek için Oluştur'u seçin.
Görüntülenen komutu kopyalayın ve kullanmakta olduğunuz kapsayıcı hizmetine göre gerektiği gibi değiştirin. Örneğin:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterKapsayıcıyı dağıtmak için makinenizde değiştirilmiş komutunu çalıştırın. Başarılı olduğunda, günlükler mcr.microsoft.com bir görüntü çektiğini ve kapsayıcı için blob oluşturmaya devam ettiğini gösterir.
Kapsayıcı tam olarak dağıtıldığında, kapsayıcı hizmetiyle denetleyerek çalıştığını doğrulayın:
podman ps
Not
Konak sunucusu yeniden başlatıldığında Podman kapsayıcıları otomatik olarak başlatılmaz. Podman konak makinesini yeniden başlatmak için kapsayıcıyı da yeniden başlatmanız gerekir.
Sorun giderme
Podman kapsayıcınızdan güvenlik duvarı günlüklerini alamıyorsanız aşağıdakileri denetleyin:
Rsyslog'un günlük toplayıcıda döndürüldüğünden emin olun.
Değişiklik yaptıysanız, birkaç saat bekleyin ve bir şeyin değişip değişmediğini görmek için aşağıdaki komutu çalıştırın:
podman logs <container name>burada
<container name>kullanmakta olduğunuz kapsayıcının adıdır.Günlükler hala gönderilmediyse, kapsayıcının bayrağı kullanılarak dağıtıldığından
--privilegedemin olun. Kapsayıcınızı bayrağıyla--privilegeddağıtmıyorsanız, kapsayıcı karşıya yüklenen dosyaları konak makineye toplamaz.
İlgili içerik
Daha fazla bilgi için bkz . Sürekli raporlar için otomatik günlük yüklemeyi yapılandırma.