为连续报表配置自动日志上传
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
日志收集器使你可以轻松地自动从网络上载日志。 日志收集器在网络上运行,并通过 Syslog 或 FTP 接收日志。 将每个日志自动处理、压缩并传输到门户。 文件完成将 FTP 传输到日志收集器后,FTP 日志将上传到Microsoft Defender for Cloud Apps。 对于 Syslog,日志收集器将收到的日志写入磁盘。 然后,当文件大小大于 40 KB 时,收集器会将文件上传到Defender for Cloud应用。
将日志上传到Defender for Cloud应用后,该日志将移动到备份目录。 备份目录存储最后 20 个日志。 收到新日志时,系统会删除旧的日志。 每当日志收集器磁盘空间已满,日志收集器都会删除新日志,直到具有更多的可用磁盘空间。 发生这种情况时,“自动上传日志”设置的“日志收集器”选项卡上会显示一条警告。
设置自动收集日志文件前,验证日志是否与预期的日志类型匹配。 你希望确保Defender for Cloud应用可以分析特定文件。 有关详细信息,请参阅使用 Cloud Discovery 的流量日志。
注意
- Defender for Cloud应用支持将日志从 SIEM 服务器转发到日志收集器,前提是日志正以原始格式转发。 但是,强烈建议直接将日志收集器与防火墙和/或代理服务器集成。
- 日志收集器会先压缩数据,然后再将其上传。 日志收集器的出站流量为接收的流量日志大小的 10%。
- 如果日志收集器遇到问题,则在 48 小时内未收到数据后,将收到警报。
部署模式
日志收集器支持 容器 部署模式。 它在 Windows、Ubuntu 本地、Azure 中的 Ubuntu、本地 RHEL 或 CentOS 上运行作为 Docker 映像运行。