Mengonfigurasi unggahan log otomatis menggunakan Docker lokal di Windows
Anda dapat mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan di Defender untuk Cloud Apps menggunakan Docker di Windows.
Prasyarat
Spesifikasi arsitektur:
Sistem operasi: Salah satu hal berikut:
Windows 10 (Pembaruan fall creators)
Windows Sever versi 1709+ (SAC)
Windows Server 2019 (LTSC)
Ruang disk: 250 GB
Inti CPU: 2
Arsitektur CPU:Intel 64 dan AMD 64
RAM: 4 GB
Untuk daftar arsitektur Docker yang didukung, lihat Dokumentasi penginstalan Docker.
Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan
Virtualisasi pada sistem operasi harus diaktifkan dengan Hyper-V
Penting
- Pelanggan perusahaan dengan lebih dari 250 pengguna atau lebih dari $ 10 juta USD dalam pendapatan tahunan memerlukan langganan berbayar untuk menggunakan Docker Desktop untuk Windows. Untuk informasi selengkapnya, lihat Gambaran umum langganan Docker.
- Pengguna harus masuk ke Docker untuk mengumpulkan log. Sebaiknya sarankan pengguna Docker Anda untuk memutuskan sambungan tanpa keluar.
- Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi VMWare.
- Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi berlapis. Jika Anda masih berencana untuk menggunakan virtualisasi berlapis, lihat panduan resmi Docker.
- Untuk informasi tentang konfigurasi tambahan dan pertimbangan implementasi untuk Docker untuk Windows, lihat Menginstal Docker Desktop di Windows.
Catatan
Jika Anda memiliki pengumpul log yang sudah ada dan ingin menghapusnya sebelum menyebarkannya lagi, atau jika Anda hanya ingin menghapusnya, jalankan perintah berikut:
docker stop <collector_name>
docker rm <collector_name>
Performa pengumpul log
Pengumpul Log dapat berhasil menangani kapasitas log hingga 50 GB per jam. Hambatan utama dalam proses pengumpulan log adalah:
Bandwidth jaringan - Bandwidth jaringan Anda menentukan kecepatan unggahan log.
Performa I/O komputer virtual - Menentukan kecepatan log ditulis ke disk pengumpul log. Pengumpul log memiliki mekanisme keselamatan bawaan yang memantau tingkat kedatangan log dan membandingkannya dengan tingkat unggahan. Dalam kasus kemacetan, pengumpul log mulai menghilangkan file log. Jika pengaturan Anda biasanya melebihi 50 GB per jam, disarankan agar Anda membagi lalu lintas antara beberapa pengumpul log.
Siapkan dan konfigurasi
Langkah 1 - Konfigurasi portal web: Menentukan sumber data dan menautkannya ke pengumpul log
Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah Cloud Discovery, pilih Unggahan log otomatis. Lalu pilih tab Sumber data .
Untuk setiap firewall atau proksi tempat Anda ingin mengunggah log, buat sumber data yang cocok.
- Pilih +Tambahkan sumber data.
- Beri nama proksi atau firewall Anda.
- Pilih appliance dari daftar Sumber . Jika Anda memilih Format log kustom untuk bekerja dengan appliance jaringan yang tidak tercantum, lihat Bekerja dengan pengurai log kustom untuk instruksi konfigurasi.
- Bandingkan log Anda dengan sampel format log yang diharapkan. Jika format file log Anda tidak cocok dengan sampel ini, Anda harus menambahkan sumber data Anda sebagai Lainnya.
- Atur jenis Penerima ke FTP, FTPS, Syslog – UDP, atau Syslog – TCP, atau Syslog – TLS.
Catatan
Mengintegrasikan dengan protokol transfer aman (FTPS dan Syslog – TLS) sering memerlukan pengaturan tambahan atau firewall/proksi Anda.
f. Ulangi proses ini untuk setiap firewall dan proksi yang lognya dapat digunakan untuk mendeteksi lalu lintas di jaringan Anda. Disarankan untuk menyiapkan sumber data khusus per perangkat jaringan untuk memungkinkan Anda:
- Pantau status setiap perangkat secara terpisah, untuk tujuan penyelidikan.
- Jelajahi Penemuan IT Bayangan per perangkat, jika setiap perangkat digunakan oleh segmen pengguna yang berbeda.
- Pilih +Tambahkan sumber data.
Buka tab Pengumpul log di bagian atas.
- Pilih Tambahkan pengumpul log.
- Beri nama kolektor log.
- Masukkan alamat IP Host (alamat IP privat) komputer yang akan Anda gunakan untuk menyebarkan Docker. Alamat IP host dapat diganti dengan nama komputer, jika ada server DNS (atau setara) yang akan menyelesaikan nama host.
- Pilih semua Sumber data yang ingin Anda sambungkan ke pengumpul, dan pilih Perbarui untuk menyimpan konfigurasi.
Informasi penyebaran lebih lanjut akan muncul. Salin perintah jalankan dari dialog. Anda dapat menggunakan ikon salin ke clipboard,
. Anda akan membutuhkan ini nanti.
Ekspor konfigurasi sumber data yang diharapkan. Konfigurasi ini menjelaskan bagaimana Anda harus mengatur ekspor log di appliance Anda.
Catatan
- Satu pengumpul Log dapat menangani beberapa sumber data.
- Salin konten layar karena Anda akan memerlukan informasi saat mengonfigurasi Pengumpul Log untuk berkomunikasi dengan Defender untuk Cloud Apps. Jika Anda memilih Syslog, informasi ini akan menyertakan informasi tentang port mana yang didengarkan pendengar Syslog.
- Untuk pengguna yang mengirim data log melalui FTP untuk pertama kalinya, sebaiknya ubah kata sandi untuk pengguna FTP. Untuk informasi selengkapnya, lihat Mengubah kata sandi FTP.
Langkah 2 - Penyebaran lokal komputer Anda
Langkah-langkah berikut menjelaskan penyebaran di Windows. Langkah-langkah penyebaran untuk platform lain sedikit berbeda.
Buka terminal PowerShell sebagai administrator di komputer Windows Anda.
Jalankan perintah berikut untuk mengunduh file skrip PowerShell penginstal Windows Docker:
Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Untuk memvalidasi bahwa alat penginstal ditandatangani oleh Microsoft, lihat Memvalidasi tanda tangan penginstal.
Untuk mengaktifkan eksekusi skrip PowerShell, jalankan
Set-ExecutionPolicy RemoteSigned
Jalankan:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Ini menginstal klien Docker di komputer Anda.Setelah menjalankan perintah, komputer akan dimulai ulang secara otomatis.
Saat komputer aktif dan berjalan lagi, jalankan perintah yang sama di PowerShell:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Jalankan alat penginstal Docker. Pilih Gunakan WSL 2 alih-alih Hyper-V (disarankan):
Setelah penginstalan selesai, komputer akan secara otomatis dimulai ulang lagi.
Setelah mulai ulang selesai, buka klien Docker dan jalankan perjanjian langganan Docker:
Jika penginstalan WSL2 belum selesai, pesan pop-up berikut akan muncul:
Selesaikan penginstalan dengan mengunduh paket seperti yang dijelaskan dalam Unduh paket pembaruan kernel Linux.
Buka kembali klien Docker Desktop dan pastikan klien telah dimulai:
Jalankan CMD sebagai administrator dan ketik perintah jalankan yang dihasilkan di portal. Jika Anda perlu mengonfigurasi proksi, tambahkan alamat IP proksi dan nomor port. Misalnya, jika detail proksi Anda adalah 192.168.10.1:8080, perintah eksekusi yang diperbarui adalah:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Verifikasi bahwa kolektor berjalan dengan benar dengan perintah berikut:
docker logs <collector_name>
Anda akan melihat pesan: Berhasil diselesaikan!
Langkah 3 - Konfigurasi lokal appliance jaringan Anda
Konfigurasikan firewall dan proksi jaringan Anda untuk mengekspor log secara berkala ke port Syslog khusus direktori FTP sesuai dengan petunjuk dalam dialog. Misalnya:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Langkah 4 - Verifikasi keberhasilan penyebaran di portal
Periksa status pengumpul di tabel Pengumpul log dan pastikan statusnya Koneksi. Jika Dibuat, ada kemungkinan koneksi pengumpul log dan penguraian belum selesai.
Anda juga dapat membuka log Tata Kelola dan memverifikasi bahwa log sedang diunggah secara berkala ke portal.
Atau, Anda dapat memeriksa status pengumpul log dari dalam kontainer docker menggunakan perintah berikut:
- Masuk ke kontainer dengan menggunakan perintah ini:
docker exec -it <Container Name> bash
- Verifikasi status pengumpul log menggunakan perintah ini:
collector_status -p
Jika Anda mengalami masalah selama penyebaran, lihat Pemecahan Masalah Cloud Discovery.
Opsional - Membuat laporan berkelanjutan kustom
Verifikasi bahwa log sedang diunggah ke Defender untuk Cloud Apps dan laporan tersebut dibuat. Setelah verifikasi, buat laporan kustom. Anda dapat membuat laporan penemuan kustom berdasarkan grup pengguna Microsoft Entra. Misalnya, jika Anda ingin melihat penggunaan cloud departemen pemasaran Anda, impor grup pemasaran menggunakan fitur impor grup pengguna. Kemudian buat laporan kustom untuk grup ini. Anda juga dapat menyesuaikan laporan berdasarkan tag alamat IP atau rentang alamat IP.
Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah Cloud Discovery, pilih Laporan berkelanjutan.
Pilih tombol Buat laporan dan isi bidang.
Di bawah Filter , Anda dapat memfilter data menurut sumber data, menurut grup pengguna yang diimpor, atau menurut tag dan rentang alamat IP.
Catatan
Saat menerapkan filter pada laporan berkelanjutan, pilihan akan disertakan, tidak dikecualikan. Misalnya, jika Anda menerapkan filter pada grup pengguna tertentu, hanya grup pengguna tersebut yang akan disertakan dalam laporan.
Opsional - Memvalidasi tanda tangan alat penginstal
Untuk memastikan bahwa alat penginstal docker ditandatangani oleh Microsoft:
Klik kanan pada file dan pilih Properti.
Pilih Tanda Tangan Digital dan pastikan tanda tangan digital ini berbuah OK.
Pastikan bahwa Microsoft Corporation terdaftar sebagai satu-satunya entri di bawah Nama penanda tangan.
Jika tanda tangan digital tidak valid, tanda tangan digital ini tidak valid:
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.