Konfigurace automatického nahrávání protokolů pomocí nástroje Podman (Preview)
Poznámka:
Microsoft Defender for Cloud Apps je teď součástí XDR v programu Microsoft Defender, který koreluje signály z celé sady Microsoft Defenderu a poskytuje možnosti detekce, vyšetřování a výkonné reakce na úrovni incidentů. Další informace najdete v tématu Microsoft Defender for Cloud Apps v XDR v programu Microsoft Defender.
Tento článek popisuje, jak nakonfigurovat automatické nahrávání protokolů pro průběžné sestavy v Defenderu pro Cloud Apps pomocí kontejneru Podman v Linuxu na místním serveru. Zákazníci, kteří používají RHEL 7.1 nebo vyšší, musí pro automatické shromažďování protokolů používat Podman.
Požadavky
Než začnete, potřebujete:
- Ujistěte se, že používáte kontejner s RHEL 7.1 a novějším.
- Vzhledem k tomu, že Docker a Podman nemohou existovat na stejném počítači, nezapomeňte před spuštěním nástroje Podman odinstalovat všechny instalace Dockeru.
- Ujistěte se, že jste přihlášeni k počítači RHEL jako uživatel
rootpro nasazení podmanu.
Nastavení a konfigurace
Přihlaste se k XDR v programu Microsoft Defender a vyberte Nastavení > Automatické nahrávání protokolů Cloud Discovery > Cloud Apps>.
Ujistěte se, že máte zdroj dat definovaný na kartě Zdroje dat. Pokud ne, vyberte Přidat zdroj dat a přidejte ho.
Vyberte kartu Kolektory protokolů, ve které jsou uvedeny všechny kolektory protokolů nasazené ve vašem tenantovi.
Vyberte odkaz Přidat kolektor protokolů. Potom v dialogovém okně Vytvořit kolektor protokolů zadejte:
Pole Popis Jméno Zadejte smysluplný název na základě klíčových informací, které kolektor protokolů používá, například interního standardu pojmenování nebo umístění webu. IP adresa hostitele nebo plně kvalifikovaný název domény Zadejte HOSTITELSKÝ počítač nebo IP adresu virtuálního počítače (VM) kolektoru protokolů. Ujistěte se, že vaše služba syslog nebo brána firewall mají přístup k IP adrese nebo plně kvalifikovanému názvu domény, který zadáte. Zdroje dat Vyberte zdroj dat, který chcete použít. Pokud používáte více zdrojů dat, použije se vybraný zdroj na samostatný port, aby kolektor protokolů mohl nadále posílat data konzistentně.
Následující seznam například ukazuje příklady kombinací zdroje dat a portů:
- Palo Alto: 601
- Kontrolní bod: 602
- ZScaler: 603Výběrem možnosti Vytvořit zobrazíte na obrazovce další pokyny pro vaši konkrétní situaci.
Zkopírujte zobrazený příkaz a podle potřeby ho upravte na základě služby kontejneru, kterou používáte. Příklad:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterSpuštěním upraveného příkazu na počítači nasaďte kontejner. Po úspěšném dokončení se v protokolech zobrazí načtení image z mcr.microsoft.com a pokračování v vytváření objektů blob pro kontejner.
Po úplném nasazení kontejneru ověřte, že funguje, a to tak, že zkontrolujete službu kontejnerizace:
podman ps
Poznámka:
Kontejnery Podman se nespustí automaticky při restartování hostitelského serveru. Restartování hostitelského počítače Podman vyžaduje opětovné spuštění kontejneru.
Řešení problému
Pokud z kontejneru Podman nezískáte protokoly brány firewall, zkontrolujte následující:
Ujistěte se, že se rsyslog obměňuje v kolektoru protokolů.
Pokud jste provedli změny, počkejte několik hodin a spusťte následující příkaz, abyste zjistili, jestli se něco změnilo:
podman logs <container name>kde
<container name>je název kontejneru, který používáte.Pokud se protokoly stále neodesílají, ujistěte se, že je kontejner nasazený pomocí příznaku
--privileged. Pokud jste kontejner s příznakem--privilegednenasadili, kontejner nebude shromažďovat nahrané soubory do hostitelského počítače.
Související obsah
Další informace najdete v tématu Konfigurace automatického nahrávání protokolů pro průběžné sestavy.