Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhez

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

A naplógyűjtők segítségével könnyedén és automatikus módon töltheti fel a hálózatáról készült naplókat. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja. A rendszer minden naplót automatikusan feldolgoz, tömörít és továbbít a portálra. Az FTP-naplók feltöltése Felhőhöz készült Microsoft Defender-alkalmazásokba, miután a fájl befejezte az FTP-átvitelt a naplógyűjtőbe. A Syslog esetében a naplógyűjtő a kapott naplókat a lemezre írja. Ezután a gyűjtő feltölti a fájlt Felhőhöz készült Defender Alkalmazásokba, ha a fájl mérete nagyobb, mint 40 KB.

Miután feltöltött egy naplót Felhőhöz készült Defender Appsbe, a rendszer áthelyezi egy biztonsági mentési könyvtárba. A biztonsági mentési könyvtár az utolsó 20 naplót tárolja. Amikor új naplók érkeznek, a régiek törlődnek. Amikor a naplógyűjtő lemezterülete megtelt, a naplógyűjtő új naplókat ad le, amíg több szabad lemezterület nem áll rendelkezésre (ez nem történhet meg, ha az előfeltételek megfelelően teljesülnek). Ez esetben a Feltöltési naplók automatikus beállításainak Naplógyűjtők lapján figyelmeztetés jelenik meg.

Az automatikus naplófájl-gyűjtemény beállítása előtt ellenőrizze, hogy a napló megfelel-e a várt naplótípusnak. Győződjön meg arról, hogy Felhőhöz készült Defender Alkalmazások elemezhetik az adott fájlt. További információ: Forgalmi naplók használata a Cloud Discoveryhez.

Megjegyzés:

  • Felhőhöz készült Defender Alkalmazások támogatást nyújtanak a naplók SIEM-kiszolgálóról a Naplógyűjtőbe való továbbításához, feltéve, hogy a naplók továbbítása az eredeti formátumban történik. Javasoljuk azonban, hogy a naplógyűjtőt közvetlenül a tűzfallal és/vagy proxyval integrálja.
  • A naplógyűjtő a feltöltés előtt tömöríti az adatokat. A naplógyűjtő kimenő forgalma a kapott forgalmi naplók méretének 10%-a lesz.
  • Ha a naplógyűjtő problémákat tapasztal, riasztást kap, miután az adatok 48 órán keresztül nem érkeztek meg.

Előfeltételek

  • Lemezterület 250 GB
  • CPU-magok: 2
  • CPU-architektúra: Intel® 64 és AMD 64
  • RAM: 4 GB
  • A tűzfal beállítása a hálózati követelményekben leírtak szerint

Megjegyzés:

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>

docker rm <collector_name>

Megjegyzés:

Új naplógyűjtő-verzió telepítéséhez le kell állítania a naplógyűjtőt, el kell távolítania az aktuális lemezképet, és telepítenie kell az újat.

A naplógyűjtő teljesítménye

A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
  • A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Deployment modes

A Naplógyűjtő támogatja a tároló üzembe helyezését. Docker-rendszerképként fut a Windows, a helyszíni Ubuntu, az Azure-ban az Ubuntu, a helyszíni RHEL vagy a CentOS rendszeren.

Következő lépések