Konfigurieren des automatischen Hochladens von Protokollen für kontinuierliche Berichte

Mithilfe von Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP. Jedes Protokoll wird automatisch verarbeitet, komprimiert und an das Portal übertragen. FTP-Protokolle werden nach Abschluss der FTP-Übertragung an den Protokollsammler in Microsoft Defender for Cloud Apps hochgeladen. Bei Syslog schreibt der Protokollsammler die empfangenen Protokolle auf die Festplatte. Wenn die Dateigröße größer als 40 KB ist, lädt der Sammler die Datei in Defender for Cloud Apps hoch.

Nachdem ein Protokoll in Defender for Cloud Apps hochgeladen wurde, wird es in ein Sicherungsverzeichnis verschoben. Das Backup-Verzeichnis speichert die letzten 20 Protokolle. Wenn neue Protokolle ankommen, werden die alten gelöscht. Wenn der Speicherplatz des Protokollsammlers voll wird, dann wird er neue Protokolle verwerfen, bis er über mehr freien Speicherplatz verfügt (dies sollte nicht der Fall sein, wenn alle Voraussetzungen erfüllt sind). Wenn dies passiert, erhalten Sie eine Warnung auf der Registerkarte Protokollsammler in den Einstellungen Protokolle automatisch hochladen.

Überprüfen Sie vor dem Einrichten der automatischen Protokolldateisammlung, ob Ihr Protokoll mit dem erwarteten Protokolltyp übereinstimmt. Sie möchten sicherstellen, dass Defender for Cloud Apps Ihre spezifische Datei analysieren kann. Weitere Informationen finden Sie unter Verwenden von Datenverkehrsprotokollen für Cloud Discovery.

Hinweis

  • Defender for Cloud Apps bietet Unterstützung für das Weiterleiten von Protokollen von Ihrem SIEM-Server an den Protokollsammler, vorausgesetzt die Protokolle werden im ursprünglichen Format weitergeleitet. Es wird allerdings dringend empfohlen, den Protokollsammler direkt in Ihre Firewall bzw. Ihren Proxy zu integrieren.
  • Der Protokollsammler komprimiert Daten, bevor sie hochgeladen werden. Der ausgehende Datenverkehr auf dem Protokollsammler beträgt 10 % der Größe der empfangenen Datenverkehrsprotokolle.
  • Wenn beim Protokollsammler Probleme auftreten, erhalten Sie eine Warnung, wenn die Daten nach 48 Stunden noch nicht empfangen wurden.

Voraussetzungen

  • Speicherplatz: 250 GB
  • CPU-Kerne: 2
  • CPU-Architektur: Intel® 64 und AMD 64
  • RAM: 4 GB
  • Konfigurieren Sie Ihre Firewall wie in den Netzwerkanforderungen beschrieben

Hinweis

Führen Sie die folgenden Befehle aus, wenn Sie über einen Protokollsammler verfügen und ihn entfernen möchten, bevor Sie ihn erneut bereitstellen, oder wenn Sie ihn einfach nur entfernen möchten:

docker stop <collector_name>

docker rm <collector_name>

Hinweis

Beenden Sie den Protokollsammler, entfernen Sie das aktuelle Image und installieren Sie das neue Image, um eine neue Protokollsammlerversion zu installieren.

Leistung des Protokollsammlers

Der Protokollsammler kann erfolgreich eine Protokollkapazität von bis zu 50 GB pro Stunde verarbeiten. Die wichtigsten Engpässe im Protokollsammelprozess sind:

  • Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.
  • E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle ankommen, und mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu verwerfen. Überschreitet Ihr Setup in der Regel 50 GB pro Stunde, sollten Sie den Datenverkehr auf mehrere Protokollsammler aufteilen.

Der Protokollsammler unterstützt zwei Container-Bereitstellungsmodi: Weitere Informationen finden Sie unter:

Nächste Schritte