使用 Podman 配置自动日志上传（预览版）

注意

Microsoft Defender for Cloud Apps 现在是 Microsoft Defender XDR 的一部分，用于将来自 Microsoft Defender 套件的信号关联起来，提供事件级检测、调查和强大的响应功能。 有关详细信息，请参阅 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps。

本文介绍如何在本地服务器上使用 Linux 上的 Podman 容器，为 Defender for Cloud Apps 中的连续报告配置自动日志上传。 使用 RHEL 7.1 或更高版本的客户必须使用 Podman 进行自动日志收集。

先决条件

开始之前：

• 确保使用的是 RHEL 7.1 或更高版本的容器。
• 由于 Docker 和 Podman 不能在同一台计算机上共存，因此请确保在运行 Podman 之前卸载所有 Docker 安装。
• 确保以用户 root 身份登录到 RHEL 计算机以部署 Podman

安装和配置

1. 登录到 Microsoft Defender XDR，并选择设置 > Cloud Apps > Cloud Discovery > 自动日志上传。

2. 请确保在数据源选项卡上定义了数据源。如果没有，请选择添加数据源以添加一个数据源。

3. 选择日志收集器选项卡，其中列出了租户上部署的所有日志收集器。

4. 选择添加日志收集器链接。 然后，在创建日志收集器对话框中输入：

   字段	描述
   Name	根据日志收集器使用的关键信息（例如内部命名标准或站点位置），输入有意义的名称。
   主机 IP 地址或 FQDN	输入日志收集器的主机或虚拟机 (VM) IP 地址。 请确保 Syslog 服务或防火墙可以访问你输入的 IP 地址/FQDN。
   数据源	选择要使用的数据源。 如果使用多个数据源，则选定的源将应用于一个单独的端口，以便日志收集器可以继续一致地发送数据。 例如，以下列表显示了数据源和端口组合的示例： - Palo Alto：601 - 检查点：602 - ZScaler：603

5. 选择创建，以在屏幕上显示针对你的具体情况的进一步说明。

6. 复制显示的命令，并根据正在使用的容器服务根据需要对其进行修改。 例如：

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. 在计算机上运行修改后的命令以部署容器。 成功后，日志显示从 mcr.microsoft.com 提取图像，并继续为容器创建 Blob。

8. 当容器完全部署后，通过与容器化服务进行检查来验证它是否工作：

   podman ps
   

注意

当主机服务器重新启动时，Podman 容器不会自动启动。 重新启动 Podman 主机也需要重新启动容器。

故障排除

如果没有从 Podman 容器获取防火墙日志，请检查以下内容：

1. 确保 rsyslog 在日志收集器上轮换。

2. 如果已经进行了更改，请等待几个小时，然后运行以下命令查看是否有任何更改：

   podman logs <container name>
   

   其中 <container name> 是正在使用的容器的名称。

3. 如果日志仍未发送，请确保使用 --privileged 标志部署容器。 如果没有使用 --privileged 标志部署容器，则容器不会收集上传到主机的文件。

相关内容

有关详细信息，请参阅为连续报表配置自动上传日志‭。