קביעת תצורה של העלאה אוטומטית של יומן רישום עבור דוחות רציים
אספני יומני רישום מאפשרים לך להפוך את העלאת יומן הרישום מהרשת לאוטומטית בקלות. אספן יומני הרישום פועל ברשת שלך ומקבל יומני רישום באמצעות Syslog או FTP. כל יומן רישום מעובד באופן אוטומטי, דחוס ומשודר לפורטל. יומני FTP מועלים ל- יישומי ענן של Microsoft Defender לאחר שהקובץ סיים את העברת FTP אל אספן יומן הרישום. עבור Syslog, מלקט יומני הרישום כותב את יומני הרישום שהתקבלו בדיסק. לאחר מכן, אספן מעלה את הקובץ יישומי ענן של Defender כאשר גודל הקובץ גדול מ- 40 KB.
לאחר העלאת יומן יישומי ענן של Defender, הוא מועבר אל ספריית גיבוי. מדריך הכתובות לגיבוי מאחסן את 20 יומני הרישום האחרונים. כאשר מגיעים יומני רישום חדשים, יומני הרישום הישנים נמחקים. בכל פעם שמקום הדיסק של מלקט יומני הרישום מלא, מלקט יומני הרישום משחרר יומני רישום חדשים עד שיש לו שטח דיסק פנוי נוסף (דבר זה לא אמור לקרות אם דרישות מוקדמות קיימות כראוי). כאשר הדבר קורה, תקבל אזהרה בכרטיסיה אספני יומני רישום של הגדרות העלאת יומני רישום באופן אוטומטי.
לפני הגדרת אוסף קבצי יומן הרישום האוטומטי, ודא כי יומן הרישום שלך תואם לסוג יומן הרישום הצפוי. ברצונך לוודא שניתן יישומי ענן של Defender את הקובץ הספציפי שלך. לקבלת מידע נוסף, ראה שימוש ביומני תעבורה לגילוי ענן.
הערה
- יישומי ענן של Defender מספק תמיכה בהעברת יומני רישום משרת SIEM שלך אל אספן יומן הרישום בהנחה כי יומני הרישום מועברים בתבנית המקורית שלהם. עם זאת, מומלץ מאוד לשלב את מלקט יומני הרישום ישירות עם חומת האש ו/או ה- Proxy שלך.
- מלקט יומני הרישום דוחס נתונים לפני העלאתם. התעבורה היוצאת של אספן יומני הרישום תהיה 10% מגודל יומני התעבורה שהוא מקבל.
- אם מלקט יומני הרישום נתקל בבעיות, תקבל התראה לאחר שהנתונים לא התקבלו במשך 48 שעות.
דרישות מוקדמות
- שטח דיסק של 250 GB
- ליבות CPU: 2
- ארכיטקטורת CPU: Intel® 64 ו- AMD 64
- RAM: 4 GB
- הגדר את חומת האש שלך כמתואר בדרישות הרשת
הערה
אם יש לך אספן יומן רישום קיים וברצונך להסיר אותו לפני פריסתו שוב, או אם ברצונך פשוט להסיר אותו, הפעל את הפקודות הבאות:
docker stop <collector_name>
docker rm <collector_name>
הערה
כדי להתקין גירסה חדשה של מלקט יומני רישום, תצטרך להפסיק את אספן יומני הרישום, להסיר את התמונה הנוכחית ולהתקין את התמונה החדשה.
ביצועי מלקט יומני רישום
אספן יומני הרישום יכול לטפל בהצלחה בקיבולת יומן רישום של עד 50 GB לשעה. צווארי הבקבוק העיקריים בתהליך איסוף יומני הרישום הם:
- רוחב פס ברשת - רוחב הפס ברשת קובע את מהירות ההעלאה של יומן הרישום.
- ביצועי קלט/פלט של המחשב הווירטואלי - קובע את המהירות שבה יומני רישום נכתבים בדיסק של מלקט יומני הרישום. אספן יומני הרישום כולל מנגנון בטיחות מוכלל המנטר את הקצב שבו יומני רישום מגיעים משווים אותו לקצב ההעלאה. במקרים של עיכול, מלקט יומני הרישום מתחיל לשחרר קבצי יומן רישום. אם ההתקנה חורגת בדרך כלל מ- 50 GB לשעה, מומלץ לפצל את התעבורה בין אספני יומני רישום מרובים.
תוכן קשור
מלקט יומני הרישום תומך במצב הפריסה של הגורם המכיל. לקבלת מידע נוסף, ראה:
- קביעת תצורה של העלאה אוטומטית של יומן רישום באמצעות Docker מקומי ב- Windows
- קביעת תצורה של העלאה אוטומטית של יומן רישום באמצעות Podman
- קביעת תצורה של העלאה אוטומטית של יומן רישום באמצעות Docker ב- Azure
- קביעת תצורה של העלאה אוטומטית של יומן רישום באמצעות Docker ב- Azure Kubernetes Service (AKS)