Konfigurieren des automatischen Protokolluploads mit Docker in Azure Kubernetes Service (AKS) (Vorschau).
In diesem Artikel wird die Konfiguration des automatischen Protokolluploads für fortlaufende Berichte in Defender for Cloud Apps mithilfe eines Docker-Containers auf Azure Kubernetes Service (AKS) beschrieben.
Hinweis
Microsoft Defender for Cloud Apps ist Teil des Produkts Microsoft Defender XDR das Signale aus der gesamten Microsoft Defender Suite korreliert, um Erkennungs-, Untersuchungs- und Reaktionsfunktionen auf Vorfallsebene bereitzustellen. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.
Setup und Konfiguration
Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload.
Stellen Sie sicher, dass auf der Registerkarte Datenquellen eine Datenquelle definiert ist. Falls dies nicht der Fall ist, klicken Sie auf Datenquelle hinzufügen, um eine Datenquelle hinzuzufügen.
Wählen Sie die Registerkarte Protokollsammler aus, auf der alle Protokollsammler in Ihrem Mandanten bereitgestellten Protokollsammler aufgelistet sind.
Wählen Sie den Link Protokollsammler hinzufügen aus. Geben Sie dann im Dialogfeld Protokollsammler erstellen Folgendes ein:
Feld Beschreibung des Dataflows Name Geben Sie einen aussagekräftigen Namen ein, basierend auf den wichtigen Informationen, die der Protokollsammler verwendet, z. B. Ihren internen Benennungsstandard oder einen Websitespeicherort. Hostname oder FQDN Geben Sie die IP-Adresse des Hostcomputers oder des virtuellen Computers Ihres Protokollsammlers ein. Stellen Sie sicher, dass Ihr Syslog-Dienst oder die Firewall auf die von Ihnen eingegebene IP-Adresse/den FQDN zugreifen kann. Datenquellen Wählen Sie die Datenquelle aus, die Sie verwenden möchten. Wenn Sie mehrere Datenquellen verwenden, wird die ausgewählte Quelle auf einen separaten Port angewendet, damit der Protokollsammler weiterhin Daten konsistent sendet.
Die folgende Liste zeigt Beispiele für Datenquellen- und Portkombinationen:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Wählen Sie Erstellen aus, um weitere Anweisungen auf dem Bildschirm für Ihre spezifische Situation anzuzeigen.
Wechseln Sie zu Ihrer AKS-Clusterkonfiguration, und führen Sie Folgendes aus:
kubectl config use-context <name of AKS cluster>Führen Sie den Helm-Befehl mit der folgenden Syntax aus:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 0.1.0 --set inputString="<generated id> ",env.PUBLICIP="<public id>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0Suchen Sie die Werte für den Helm-Befehl mithilfe des Docker-Befehls, der beim Konfigurieren des Collectors verwendet wurde. Zum Beispiel:
(echo <Generated ID>) | docker run --name SyslogTLStest
Bei erfolgreicher Ausführung zeigen die Protokolle das Abrufen eines Bilds aus mcr.microsoft.com an und erstellen weiterhin Blobs für den Container.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Konfigurieren des automatischen Hochladens von Protokollen für kontinuierliche Berichte.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für