Konfigurace automatického odesílání protokolů pro průběžné sestavy
Kolektory protokolů umožňují snadnou automatizaci odesílání protokolů z vaší sítě. Kolektor protokolů běží ve vaší síti a přijímá protokoly prostřednictvím úlohy Syslog nebo FTP. Každý protokol se automaticky zpracuje, zkomprimuje a přenese na portál. Protokoly FTP se nahrají do Microsoft Defenderu for Cloud Apps po dokončení přenosu FTP do kolektoru protokolů. Pro Syslog zapisuje kolektor protokolů přijaté protokoly na disk. Potom kolektor soubor nahraje do Defenderu for Cloud Apps, pokud je velikost souboru větší než 40 kB.
Po nahrání protokolu do Defenderu for Cloud Apps se přesune do záložního adresáře. Záložní adresář ukládá posledních 20 protokolů. Po přijetí nových protokolů se staré protokoly odstraní. Kdykoli je místo na disku kolektoru protokolů plné, kolektor protokolů zahodí nové protokoly, dokud nebude mít více volného místa na disku (k tomu by nemělo dojít, pokud jsou splněné požadavky). Na kartě Kolektory protokolů v nastavení nahrání protokolů se zobrazí upozornění, když k tomu dojde.
Před nastavením automatického shromažďování souborů protokolu ověřte, že protokol odpovídá očekávanému typu protokolu. Chcete zajistit, aby Defender for Cloud Apps mohl analyzovat váš konkrétní soubor. Další informace najdete v tématu Použití protokolů provozu pro Cloud Discovery.
Poznámka:
- Defender for Cloud Apps poskytuje podporu předávání protokolů ze serveru SIEM do kolektoru protokolů za předpokladu, že se protokoly přeposílají v původním formátu. Důrazně však doporučujeme integrovat kolektor protokolů přímo s bránou firewall nebo proxy serverem.
- Kolektor protokolů před nahráním komprimuje data. Odchozí provoz v kolektoru protokolů bude 10 % velikosti protokolů, které přijímá.
- Pokud kolektor protokolů narazí na problémy, zobrazí se upozornění po přijetí dat po dobu 48 hodin.
Požadavky
- Místo na disku 250 GB
- Jádra procesoru: 2
- Architektura procesoru: Intel® 64 a AMD 64
- Paměť RAM: 4 GB
- Nastavení brány firewall podle popisu v požadavcích na síť
Poznámka:
Pokud máte existující kolektor protokolů a chcete ho před opětovným nasazením odebrat nebo ho jednoduše chcete odebrat, spusťte následující příkazy:
docker stop <collector_name>
docker rm <collector_name>
Poznámka:
Pokud chcete nainstalovat novou verzi kolektoru protokolů, budete muset zastavit kolektor protokolů, odebrat aktuální image a nainstalovat novou.
Výkon kolektoru protokolů:
Kolektor protokolů dokáže úspěšně zpracovávat kapacitu protokolů do 50 GB za hodinu. Proces shromažďování protokolů má tato hlavní problémová místa:
- Šířka pásma sítě – Šířka pásma sítě určuje rychlost nahrávání protokolů.
- Výkon vstupně-výstupních operací virtuálního počítače – určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který sleduje rychlost přijímání protokolů a porovnává ji s rychlostí odesílání. V případě přetížení začne kolektor protokolů některé soubory protokolu vyřazovat. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.
Související obsah
Kolektor protokolů podporuje režim nasazení kontejneru. Další informace naleznete v tématu:
- Konfigurace automatického nahrávání protokolů pomocí místního Dockeru ve Windows
- Konfigurace automatického nahrávání protokolů pomocí nástroje Podman
- Konfigurace automatického nahrávání protokolů pomocí Dockeru v Azure