Automatikus naplófeltöltés konfigurálása a Podman használatával
Feljegyzés
Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft Defender XDR, amely a Microsoft Defender-csomag összes jelét korrelálja, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft Defender XDR-ben.
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban, linuxos Podman-tárolóval egy helyszíni kiszolgálón. Az RHEL 7.1 vagy újabb verziót használó ügyfeleknek podmant kell használniuk az automatikus naplógyűjtéshez.
Előfeltételek
Előkészületek:
- Győződjön meg arról, hogy rhEL 7.1 vagy újabb verziójú tárolót használ.
- Mivel a Docker és a Podman nem tud együtt létezni ugyanazon a gépen, a Podman futtatása előtt mindenképpen távolítsa el a Docker-telepítéseket.
- Győződjön meg arról, hogy felhasználóként
rootbejelentkezett az RHEL-gépre a Podman üzembe helyezéséhez
Beállítás és konfigurálás
Jelentkezzen be a Microsoft Defender XDR-be, és válassza a Beállítások Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés> lehetőséget.
Győződjön meg arról, hogy rendelkezik az Adatforrások lapon definiált adatforrással . Ha nem, válassza az Adatforrás hozzáadása lehetőséget a hozzáadáshoz.
Válassza a Naplógyűjtők lapot, amely felsorolja a bérlőn üzembe helyezett összes naplógyűjtőt.
Válassza a Naplógyűjtő hozzáadása hivatkozást. Ezután a Naplógyűjtő létrehozása párbeszédpanelen adja meg a következőt:
Mező Leírás Név Adjon meg egy értelmes nevet a naplógyűjtő által használt legfontosabb információk, például a belső elnevezési szabvány vagy a hely helyének alapján. Gazdagép IP-címe vagy teljes tartománynév Adja meg a naplógyűjtő gazdagépének vagy virtuális gépének IP-címét. Győződjön meg arról, hogy a syslog szolgáltatás vagy a tűzfal hozzáfér a megadott IP-címhez/teljes tartománynévhez. Adatforrás(ok) Válassza ki a használni kívánt adatforrást. Ha több adatforrást használ, a rendszer a kiválasztott forrást egy külön portra alkalmazza, hogy a naplógyűjtő folyamatosan küldjön adatokat.
Az alábbi lista például példákat mutat be az adatforrás- és portkombinációkra:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603A Létrehozás gombra kattintva további utasításokat jeleníthet meg a képernyőn az adott helyzethez.
Másolja ki a megjelenő parancsot, és szükség szerint módosítsa a használt tárolószolgáltatás alapján. Példa:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterFuttassa a módosított parancsot a számítógépen a tároló üzembe helyezéséhez. Ha sikeres, a naplók azt mutatják, hogy a rendszerképet lekérte a mcr.microsoft.com, és folytatja a blobok létrehozását a tárolóhoz.
A tároló teljes üzembe helyezésekor ellenőrizze, hogy működik-e a tárolószolgáltatóval:
podman ps
Feljegyzés
A Podman-tárolók nem indulnak el automatikusan a gazdakiszolgáló újraindításakor. A Podman-gazdagép újraindításához újra kell indítania a tárolót is.
Hibaelhárítás
Ha nem kap tűzfalnaplókat a Podman-tárolóból, ellenőrizze a következőket:
Győződjön meg arról, hogy az rsyslog forog a naplógyűjtőn.
Ha módosításokat végzett, várjon néhány órát, és futtassa a következő parancsot, hogy kiderüljön, változott-e valami:
podman logs <container name>hol
<container name>található a használt tároló neve.Ha a naplók továbbra sem lesznek elküldve, győződjön meg arról, hogy a tároló a
--privilegedjelzővel van üzembe helyezve. Ha még nem telepítette a tárolót a--privilegedjelzővel, a tároló nem gyűjt fel feltöltött fájlokat a gazdagépre.
Kapcsolódó tartalom
További információ: Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez.