שתף באמצעות

קביעת תצורה של העלאה אוטומטית של יומן רישום באמצעות Docker מקומי ב- Windows

  • מאמר

באפשרותך לקבוע את התצורה של העלאה אוטומטית של יומני רישום עבור דוחות יישומי ענן של Defender באמצעות Docker ב- Windows.

דרישות מוקדמות

  • מפרטי ארכיטקטורה:

    מפרט תיאור
    מערכת הפעלה אחת מהאפשרויות הבאות:
  • Windows 10 (עדכון ליוצרים בסתיו)
  • גרסה 1709+ של Windows Server (SAC)
  • Windows Server 2019 (LTSC)
    		•
    שטח דיסק 250 GB
    ליבות CPU 2
    ארכיטקטורת CPU Intel 64 ו- AMD 64
    RAM 4 GB

    לקבלת רשימה של ארכיטקטורות Docker נתמכות, ראה תיעוד התקנה של Docker.

  • הגדר את חומת האש שלך לפי הצורך. לקבלת מידע נוסף, ראה דרישות רשת.

  • וירטואליזציה במערכת ההפעלה חייבת להיות זמינה עם Hyper-V.

חשוב

  • לקוחות ארגוניים בעלי יותר מ- 250 משתמשים או יותר מ- $10 מיליון דולר בהכנסות שנתיות דורשים מנוי בתשלום כדי להשתמש ב- Docker Desktop עבור Windows. לקבלת מידע נוסף, ראה מבט כולל על מנוי Docker.
  • על משתמש להיות מחובר כדי ש- Docker יאסוף יומני רישום. אנו ממליצים למשתמשים שלך ב- Docker להתנתק מבלי להתנתק.
  • Docker עבור Windows אינו נתמך באופן רשמי בתרחישי וירטואליזציה של VMWare.
  • Docker עבור Windows אינו נתמך באופן רשמי בתרחישי וירטואליזציה מקוננים. אם אתה עדיין מתכנן להשתמש וירטואליזציה מקוננת, עיין במדריך הרשמי של Docker.
  • לקבלת מידע על שיקולי תצורה ויישום נוספים עבור Docker עבור Windows, ראה התקנת Docker Desktop ב- Windows.

הסרת אספן יומן רישום קיים

אם יש לך אספן יומן רישום קיים וברצונך להסיר אותו לפני פריסתו שוב, או אם ברצונך פשוט להסיר אותו, הפעל את הפקודות הבאות:

docker stop <collector_name>
docker rm <collector_name>

ביצועי מלקט יומני רישום

אספן יומני הרישום יכול לטפל בהצלחה בקיבולת יומן רישום של עד 50 GB לשעה. צווארי הבקבוק העיקריים בתהליך איסוף יומני הרישום הם:

  • רוחב פס ברשת - רוחב הפס ברשת קובע את מהירות ההעלאה של יומן הרישום.

  • ביצועי קלט/פלט של המחשב הווירטואלי - קובע את המהירות שבה יומני רישום נכתבים בדיסק של מלקט יומני הרישום. אספן יומני הרישום כולל מנגנון בטיחות מוכלל המנטר את הקצב שבו יומני רישום מגיעים משווים אותו לקצב ההעלאה. במקרים של עיכול, מלקט יומני הרישום מתחיל לשחרר קבצי יומן רישום. אם ההתקנה חורגת בדרך כלל מ- 50 GB לשעה, מומלץ לפצל את התעבורה בין אספני יומני רישום מרובים.

שלב 1 – תצורת פורטל האינטרנט

השתמש בשלבים הבאים כדי להגדיר את מקורות הנתונים שלך ולקשר אותם לאלקט יומני רישום. אספן יומן רישום יחיד יכול לטפל במקורות נתונים מרובים.

  1. בפורטל Microsoft Defender, בחר הגדרות>אפליקציות ענן>גילוי ענן>כרטיסיית מקורות נתונים אוטומטיים להעלאת>יומן רישום.

  2. עבור כל חומת אש או Proxy מהם ברצונך להעלות יומני רישום, צור מקור נתונים תואם:

    1. בחר +הוסף מקור נתונים.

      צילום מסך של לחצן 'הוסף מקור נתונים'.

    2. תן שם ל- Proxy או לחומת האש שלך.

      צילום מסך של תיבת הדו-שיח 'הוספת מקור נתונים'

    3. בחר את המכפלה מהרשימה מקור. אם תבחר תבנית יומן רישום מותאמת אישית כדי לעבוד עם מכשיר רשת שאינו מופיע ברשימה, ראה עבודה עם מנתח יומן הרישום המותאם אישית לקבלת הוראות תצורה.

    4. השווה את יומן הרישום שלך למדגם של תבנית יומן הרישום הצפויה. אם תבנית קובץ יומן הרישום שלך אינה תואמת למדגם זה, עליך להוסיף את מקור הנתונים שלך בתור אחר.

    5. הגדר את סוג המקלט ל- FTP, FTPS, Syslog – UDP או Syslog – TCP או Syslog – TLS.

      הערה

      שילוב עם פרוטוקולי העברה מאובטחת (FTPS ו- Syslog – TLS) דורש לעתים קרובות הגדרות נוספות עבור חומת האש/ה- Proxy שלך.

    6. חזור על תהליך זה עבור כל חומת אש ו- Proxy שניתן להשתמש ביומני הרישום שלהם כדי לזהות תעבורה ברשת שלך. מומלץ להגדיר מקור נתונים ייעודי לכל התקן רשת כדי לאפשר לך:

      • נטר את המצב של כל מכשיר בנפרד, למטרות חקירה.
      • גלה את גילוי ה- IT של צל לכל מכשיר, אם כל מכשיר נמצא בשימוש על-ידי מקטע משתמש אחר.

  3. בחלק העליון של הדף, בחר את הכרטיסיה אספני יומני רישום ולאחר מכן בחר הוסף מלקט יומני רישום.

  4. בתיבת הדו-שיח יצירת מלקט יומני רישום:

    1. בשדה שם, הזן שם בעל משמעות עבור אספן יומני הרישום שלך.

    2. תן לאלקט יומני הרישום שם והזן את כתובת ה- IP של המארח (כתובת IP פרטית) של המחשב שבו תשתמש כדי לפרוס את Docker. ניתן להחליף את כתובת ה- IP של המחשב המארח בשם המחשב, אם קיים שרת DNS (או שווה ערך) שיפתור את שם המחשב המארח.

    3. בחר את כל מקורות הנתונים שברצונך לחבר אל המלקט ובחר עדכן כדי לשמור את התצורה.

      מידע נוסף אודות פריסה מופיע במקטע השלבים הבאים , כולל פקודה שתשתמש בה מאוחר יותר כדי לייבא את תצורת המלקט. אם בחרת ב- Syslog, מידע זה כולל גם נתונים לגבי היציאה שמאזין Syslog מאזין לה.

    4. השתמש בעותק ללוח.לחצן העתק כדי להעתיק את הפקודה ללוח ולשמור אותה במיקום נפרד.

    5. השתמש בלחצן ייצואכדי לייצא את תצורת מקור הנתונים הצפויה. תצורה זו מתארת כיצד עליך להגדיר את ייצוא יומן הרישום במכשירים שלך.

עבור משתמשים השולחים נתוני יומן רישום דרך FTP בפעם הראשונה, מומלץ לשנות את הסיסמה עבור משתמש FTP. לקבלת מידע נוסף, ראה שינוי סיסמת FTP.

שלב 2 – פריסה מקומית של המחשב

השלבים הבאים מתארים את הפריסה ב- Windows. שלבי הפריסה עבור פלטפורמות אחרות שונים מעט.

  1. פתח מסוף של PowerShell כמנהל מערכת במחשב Windows שלך.

  2. הפעל את הפקודה הבאה כדי להוריד את קובץ ה- Script של PowerShell של מתקין Windows Docker:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    כדי לוודא שהמתקין חתום על-ידי Microsoft, ראה אימות חתימת תוכנית ההתקנה.

  3. כדי להפוך את ביצוע קובץ ה- Script של PowerShell לזמין, הפעל את:

    Set-ExecutionPolicy RemoteSigned`

  4. כדי להתקין את לקוח Docker במחשב שלך, הפעל את:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    המחשב מופעל מחדש באופן אוטומטי לאחר הפעלת הפקודה.

  5. כאשר המחשב פועל שוב, הפעל שוב את אותה פקודה:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. הפעל את תוכנת ההתקנה של Docker ובחר להשתמש ב- WSL 2 במקום ב- Hyper-V.

    לאחר השלמת ההתקנה, המחשב יופעל מחדש באופן אוטומטי שוב.

  7. לאחר השלמת ההפעלה מחדש, פתח את לקוח Docker וקבל את הסכם המנוי של Docker.

  8. אם התקנת WSL2 לא הושלמה, מוצגת הודעה שמציינות שלבת WSL 2 Linux מותקנת באמצעות חבילת עדכון MSI נפרדת.

  9. השלם את ההתקנה על-ידי הורדת החבילה. לקבלת מידע נוסף, ראה הורדת חבילת עדכון הליבה של Linux.

  10. פתח שוב את לקוח שולחן העבודה של Docker וודא שהוא הופעל.

  11. פתח שורת פקודה כמנהל מערכת והזן את פקודת ההפעלה שהעתקת מוקדם יותר מהפורטל בשלב 1 – תצורת פורטל אינטרנט.

    אם עליך לקבוע תצורה של Proxy, הוסף את כתובת ה- IP של ה- Proxy ואת מספר היציאה. לדוגמה, אם פרטי ה- Proxy שלך הם 172.31.255.255:8080, פקודת ההפעלה המעודכנת שלך היא:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. כדי לוודא שהאספן פועל כראוי, הפעל את:

    docker logs <collector_name>

    ההודעה אמורה להופיע: הסתיים בהצלחה! לדוגמה:

    צילום מסך של פקודה שהאספן פועל כראוי.

שלב 3 - תצורה מקומית של מכשירי הרשת שלך

קבע את תצורת חומות האש ורשתות ה- Proxy שלך כדי לייצא מעת לעת יומני רישום ליציאת Syslog הייעודית של ספריית FTP בהתאם להוראות בתיבת הדו-שיח. לדוגמה:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

שלב 4 - אימות הפריסה המוצלחת בפורטל

בדוק את מצב המלקט בטבלת מלקט יומני הרישום וודא כי המצב הוא מחובר. אם הוא נוצר, ייתכן שחיבור מלקט יומני הרישום והניתח לא הושלמו.

ודא שמצב המלקט מחובר.

באפשרותך גם לעבור אל יומן הפיקוח ולאמת כי יומני רישום מועלים מעת לעת לפורטל.

לחלופין, באפשרותך לבדוק את מצב מלקט יומני הרישום מתוך הגורם המכיל של docker באמצעות הפקודות הבאות:

  1. היכנס אל הגורם המכיל:

    docker exec -it <Container Name> bash

  2. אמת את מצב מלקט יומני הרישום:

    collector_status -p

אם אתה נתקל בבעיות במהלך הפריסה, ראה פתרון בעיות בגילוי ענן.

אופציונלי - יצירת דוחות רציונליים מותאמים אישית

ודא כי יומני הרישום מועלים יישומי ענן של Defender ודוחות אלה נוצרים. לאחר האימות, צור דוחות מותאמים אישית. באפשרותך ליצור דוחות גילוי מותאמים אישית בהתבסס על Microsoft Entra משתמש אלה. לדוגמה, אם ברצונך לראות את השימוש בענן של מחלקת השיווק שלך, יבא את קבוצת השיווק באמצעות התכונה ייבוא קבוצת משתמשים. לאחר מכן צור דוח מותאם אישית עבור קבוצה זו. באפשרותך גם להתאים אישית דוח בהתבסס על תגית כתובת IP או טווחי כתובות IP.

  1. בפורטל Microsoft Defender, בחר הגדרות אפליקציות>ענן גילוי>ענן דוחות>רציפות.

  2. בחר בלחצן צור דוח ומלא את השדות.

  3. תחת מסננים, באפשרותך לסנן את הנתונים לפי מקור נתונים, לפי קבוצת משתמשים מיובאת או לפיתגיות וטווחים של כתובות IP.

    הערה

    בעת החלת מסננים על דוחות רציפים, הבחירה תיכלל ולא תיכלל. לדוגמה, אם תחיל מסנן על קבוצת משתמשים מסוימת, רק קבוצת משתמשים זו תיכלל בדוח.

    דוח רציף מותאם אישית.

אופציונלי - אימות חתימת מתקין

כדי לוודא שמתקין docker חתום על-ידי Microsoft:

  1. לחץ באמצעות לחצן העכבר הימני על הקובץ ובחר מאפיינים.

  2. בחר חתימות דיגיטליות וודא שכתובתה חתימה דיגיטלית זו היא אישור.

  3. ודא ש - Microsoft Corporation מופיעה כערך היחיד תחת שם החותם.

    חתימה דיגיטלית חוקית.

    אם החתימה הדיגיטלית אינה חוקית, היא תציין חתימה דיגיטלית זו אינה חוקית:

    חתימה דיגיטלית אינה חוקית.

השלבים הבאים

שינוי תצורת FTP של מלקט יומני הרישום

אם אתה נתקל בבעיות כלשהן, אנחנו כאן כדי לעזור. לקבלת סיוע או תמיכה עבור בעיית המוצר שלך, פתח כרטיס תמיכה.