Bagikan melalui

Mengonfigurasi unggahan log otomatis menggunakan Docker lokal di Windows

  • Artikel

Anda dapat mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan di Defender untuk Cloud Apps menggunakan Docker di Windows.

Prasyarat

  • Spesifikasi arsitektur:

    • Sistem operasi: Salah satu hal berikut:

      • Windows 10 (Pembaruan fall creators)

      • Windows Sever versi 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Ruang disk: 250 GB

    • Inti CPU: 2

    • Arsitektur CPU:Intel 64 dan AMD 64

    • RAM: 4 GB

    Untuk daftar arsitektur Docker yang didukung, lihat Dokumentasi penginstalan Docker.

  • Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan

  • Virtualisasi pada sistem operasi harus diaktifkan dengan Hyper-V

Penting

  • Pelanggan perusahaan dengan lebih dari 250 pengguna atau lebih dari $ 10 juta USD dalam pendapatan tahunan memerlukan langganan berbayar untuk menggunakan Docker Desktop untuk Windows. Untuk informasi selengkapnya, lihat Gambaran umum langganan Docker.
  • Pengguna harus masuk ke Docker untuk mengumpulkan log. Sebaiknya sarankan pengguna Docker Anda untuk memutuskan sambungan tanpa keluar.
  • Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi VMWare.
  • Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi berlapis. Jika Anda masih berencana untuk menggunakan virtualisasi berlapis, lihat panduan resmi Docker.
  • Untuk informasi tentang konfigurasi tambahan dan pertimbangan implementasi untuk Docker untuk Windows, lihat Menginstal Docker Desktop di Windows.

Catatan

Jika Anda memiliki pengumpul log yang sudah ada dan ingin menghapusnya sebelum menyebarkannya lagi, atau jika Anda hanya ingin menghapusnya, jalankan perintah berikut:

docker stop <collector_name>
docker rm <collector_name>

Performa pengumpul log

Pengumpul Log dapat berhasil menangani kapasitas log hingga 50 GB per jam. Hambatan utama dalam proses pengumpulan log adalah:

  • Bandwidth jaringan - Bandwidth jaringan Anda menentukan kecepatan unggahan log.

  • Performa I/O komputer virtual - Menentukan kecepatan log ditulis ke disk pengumpul log. Pengumpul log memiliki mekanisme keselamatan bawaan yang memantau tingkat kedatangan log dan membandingkannya dengan tingkat unggahan. Dalam kasus kemacetan, pengumpul log mulai menghilangkan file log. Jika pengaturan Anda biasanya melebihi 50 GB per jam, disarankan agar Anda membagi lalu lintas antara beberapa pengumpul log.

Siapkan dan konfigurasi

Langkah 1 - Konfigurasi portal web: Menentukan sumber data dan menautkannya ke pengumpul log

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Cloud Discovery, pilih Unggahan log otomatis. Lalu pilih tab Sumber data .

  3. Untuk setiap firewall atau proksi tempat Anda ingin mengunggah log, buat sumber data yang cocok.

    1. Pilih +Tambahkan sumber data.
      Add a data source.
    2. Beri nama proksi atau firewall Anda.
      Add name for data source.
    3. Pilih appliance dari daftar Sumber . Jika Anda memilih Format log kustom untuk bekerja dengan appliance jaringan yang tidak tercantum, lihat Bekerja dengan pengurai log kustom untuk instruksi konfigurasi.
    4. Bandingkan log Anda dengan sampel format log yang diharapkan. Jika format file log Anda tidak cocok dengan sampel ini, Anda harus menambahkan sumber data Anda sebagai Lainnya.
    5. Atur jenis Penerima ke FTP, FTPS, Syslog – UDP, atau Syslog – TCP, atau Syslog – TLS.

    Catatan

    Mengintegrasikan dengan protokol transfer aman (FTPS dan Syslog – TLS) sering memerlukan pengaturan tambahan atau firewall/proksi Anda.

    f. Ulangi proses ini untuk setiap firewall dan proksi yang lognya dapat digunakan untuk mendeteksi lalu lintas di jaringan Anda. Disarankan untuk menyiapkan sumber data khusus per perangkat jaringan untuk memungkinkan Anda:

    • Pantau status setiap perangkat secara terpisah, untuk tujuan penyelidikan.
    • Jelajahi Penemuan IT Bayangan per perangkat, jika setiap perangkat digunakan oleh segmen pengguna yang berbeda.

  4. Buka tab Pengumpul log di bagian atas.

    1. Pilih Tambahkan pengumpul log.
    2. Beri nama kolektor log.
    3. Masukkan alamat IP Host (alamat IP privat) komputer yang akan Anda gunakan untuk menyebarkan Docker. Alamat IP host dapat diganti dengan nama komputer, jika ada server DNS (atau setara) yang akan menyelesaikan nama host.
    4. Pilih semua Sumber data yang ingin Anda sambungkan ke pengumpul, dan pilih Perbarui untuk menyimpan konfigurasi. Select data source to connect.

  5. Informasi penyebaran lebih lanjut akan muncul. Salin perintah jalankan dari dialog. Anda dapat menggunakan ikon salin ke clipboard, copy to clipboard icon.. Anda akan membutuhkan ini nanti.

  6. Ekspor konfigurasi sumber data yang diharapkan. Konfigurasi ini menjelaskan bagaimana Anda harus mengatur ekspor log di appliance Anda.

    Create log collector.

    Catatan

    • Satu pengumpul Log dapat menangani beberapa sumber data.
    • Salin konten layar karena Anda akan memerlukan informasi saat mengonfigurasi Pengumpul Log untuk berkomunikasi dengan Defender untuk Cloud Apps. Jika Anda memilih Syslog, informasi ini akan menyertakan informasi tentang port mana yang didengarkan pendengar Syslog.
    • Untuk pengguna yang mengirim data log melalui FTP untuk pertama kalinya, sebaiknya ubah kata sandi untuk pengguna FTP. Untuk informasi selengkapnya, lihat Mengubah kata sandi FTP.

Langkah 2 - Penyebaran lokal komputer Anda

Langkah-langkah berikut menjelaskan penyebaran di Windows. Langkah-langkah penyebaran untuk platform lain sedikit berbeda.

  1. Buka terminal PowerShell sebagai administrator di komputer Windows Anda.

  2. Jalankan perintah berikut untuk mengunduh file skrip PowerShell penginstal Windows Docker: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Untuk memvalidasi bahwa alat penginstal ditandatangani oleh Microsoft, lihat Memvalidasi tanda tangan penginstal.

  3. Untuk mengaktifkan eksekusi skrip PowerShell, jalankan Set-ExecutionPolicy RemoteSigned

  4. Jalankan: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Ini menginstal klien Docker di komputer Anda.

    Docker is installed.

    Setelah menjalankan perintah, komputer akan dimulai ulang secara otomatis.

  5. Saat komputer aktif dan berjalan lagi, jalankan perintah yang sama di PowerShell: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Jalankan alat penginstal Docker. Pilih Gunakan WSL 2 alih-alih Hyper-V (disarankan):

    Installing Docker desktop.

    Setelah penginstalan selesai, komputer akan secara otomatis dimulai ulang lagi.

  7. Setelah mulai ulang selesai, buka klien Docker dan jalankan perjanjian langganan Docker:

    Accept Docker service agreement.

  8. Jika penginstalan WSL2 belum selesai, pesan pop-up berikut akan muncul:

    WSL 2 installation is incomplete.

  9. Selesaikan penginstalan dengan mengunduh paket seperti yang dijelaskan dalam Unduh paket pembaruan kernel Linux.

  10. Buka kembali klien Docker Desktop dan pastikan klien telah dimulai:

    Open the Docker Desktop client.

  11. Jalankan CMD sebagai administrator dan ketik perintah jalankan yang dihasilkan di portal. Jika Anda perlu mengonfigurasi proksi, tambahkan alamat IP proksi dan nomor port. Misalnya, jika detail proksi Anda adalah 192.168.10.1:8080, perintah eksekusi yang diperbarui adalah:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Verifikasi bahwa kolektor berjalan dengan benar dengan perintah berikut: docker logs <collector_name>

Anda akan melihat pesan: Berhasil diselesaikan!

Verify that collector is running properly.

Langkah 3 - Konfigurasi lokal appliance jaringan Anda

Konfigurasikan firewall dan proksi jaringan Anda untuk mengekspor log secara berkala ke port Syslog khusus direktori FTP sesuai dengan petunjuk dalam dialog. Misalnya:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Langkah 4 - Verifikasi keberhasilan penyebaran di portal

Periksa status pengumpul di tabel Pengumpul log dan pastikan statusnya Koneksi. Jika Dibuat, ada kemungkinan koneksi pengumpul log dan penguraian belum selesai.

Verify that the collector status is Connected.

Anda juga dapat membuka log Tata Kelola dan memverifikasi bahwa log sedang diunggah secara berkala ke portal.

Atau, Anda dapat memeriksa status pengumpul log dari dalam kontainer docker menggunakan perintah berikut:

  1. Masuk ke kontainer dengan menggunakan perintah ini: docker exec -it <Container Name> bash
  2. Verifikasi status pengumpul log menggunakan perintah ini: collector_status -p

Jika Anda mengalami masalah selama penyebaran, lihat Pemecahan Masalah Cloud Discovery.

Opsional - Membuat laporan berkelanjutan kustom

Verifikasi bahwa log sedang diunggah ke Defender untuk Cloud Apps dan laporan tersebut dibuat. Setelah verifikasi, buat laporan kustom. Anda dapat membuat laporan penemuan kustom berdasarkan grup pengguna Microsoft Entra. Misalnya, jika Anda ingin melihat penggunaan cloud departemen pemasaran Anda, impor grup pemasaran menggunakan fitur impor grup pengguna. Kemudian buat laporan kustom untuk grup ini. Anda juga dapat menyesuaikan laporan berdasarkan tag alamat IP atau rentang alamat IP.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Cloud Discovery, pilih Laporan berkelanjutan.

  3. Pilih tombol Buat laporan dan isi bidang.

  4. Di bawah Filter , Anda dapat memfilter data menurut sumber data, menurut grup pengguna yang diimpor, atau menurut tag dan rentang alamat IP.

    Catatan

    Saat menerapkan filter pada laporan berkelanjutan, pilihan akan disertakan, tidak dikecualikan. Misalnya, jika Anda menerapkan filter pada grup pengguna tertentu, hanya grup pengguna tersebut yang akan disertakan dalam laporan.

    Custom continuous report.

Opsional - Memvalidasi tanda tangan alat penginstal

Untuk memastikan bahwa alat penginstal docker ditandatangani oleh Microsoft:

  1. Klik kanan pada file dan pilih Properti.

  2. Pilih Tanda Tangan Digital dan pastikan tanda tangan digital ini berbuah OK.

  3. Pastikan bahwa Microsoft Corporation terdaftar sebagai satu-satunya entri di bawah Nama penanda tangan.

    Digital signature valid.

    Jika tanda tangan digital tidak valid, tanda tangan digital ini tidak valid:

    Digital signature not valid.

Langkah berikutnya

Mengubah konfigurasi FTP pengumpul log

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.