Mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan

Pengumpul log memungkinkan Anda mengotomatiskan unggahan log dengan mudah dari jaringan Anda. Pengumpul log berjalan di jaringan Anda dan menerima log melalui Syslog atau FTP. Setiap log secara otomatis diproses, dikompresi, dan ditransmisikan ke portal. Log FTP diunggah ke Microsoft Defender untuk Cloud Apps setelah file selesai ditransfer FTP ke Pengumpul Log. Untuk Syslog, Pengumpul Log menulis log yang diterima ke disk. Kemudian kolektor mengunggah file ke Defender untuk Cloud Apps saat ukuran file lebih besar dari 40 KB.

Setelah log diunggah ke Defender untuk Cloud Apps, log dipindahkan ke direktori cadangan. Direktori cadangan menyimpan 20 log terakhir. Ketika log baru tiba, log lama akan dihapus. Setiap kali ruang disk pengumpul log penuh, pengumpul log menjatuhkan log baru sampai memiliki lebih banyak ruang disk kosong (ini seharusnya tidak terjadi jika prasyarat terpenuhi dengan benar). Anda akan menerima peringatan pada tab Pengumpul log dari pengaturan Unggah log secara otomatis saat ini terjadi.

Sebelum menyiapkan kumpulan file log otomatis, verifikasi log Anda cocok dengan jenis log yang diharapkan. Anda ingin memastikan Defender untuk Cloud Apps dapat mengurai file spesifik Anda. Untuk informasi selengkapnya, lihat Menggunakan log lalu lintas untuk Cloud Discovery.

Catatan

• Defender untuk Cloud Apps menyediakan dukungan untuk meneruskan log dari server SIEM Anda ke Pengumpul Log dengan asumsi log sedang diteruskan dalam format aslinya. Namun, sangat disarankan agar Anda mengintegrasikan pengumpul log langsung dengan firewall dan/atau proksi Anda.
• Pengumpul log mengompresi data sebelum diunggah. Lalu lintas keluar pada pengumpul log akan menjadi 10% dari ukuran log lalu lintas yang diterimanya.
• Jika pengumpul log mengalami masalah, Anda akan menerima pemberitahuan setelah data tidak diterima selama 48 jam.

Prasyarat

• Ruang disk 250 GB
• Inti CPU: 2
• Arsitektur CPU: Intel® 64 dan AMD 64
• RAM: 4 GB
• Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan

Catatan

Jika Anda memiliki pengumpul log yang sudah ada dan ingin menghapusnya sebelum menyebarkannya lagi, atau jika Anda hanya ingin menghapusnya, jalankan perintah berikut:

docker stop <collector_name>

docker rm <collector_name>

Catatan

Untuk menginstal versi pengumpul log baru, Anda harus menghentikan pengumpul log, menghapus gambar saat ini, dan menginstal yang baru.

Performa pengumpul log

Pengumpul Log dapat berhasil menangani kapasitas log hingga 50 GB per jam. Hambatan utama dalam proses pengumpulan log adalah:

• Bandwidth jaringan - Bandwidth jaringan Anda menentukan kecepatan unggahan log.
• Performa I/O komputer virtual - Menentukan kecepatan log ditulis ke disk pengumpul log. Pengumpul log memiliki mekanisme keselamatan bawaan yang memantau tingkat kedatangan log dan membandingkannya dengan tingkat unggahan. Dalam kasus kemacetan, pengumpul log mulai menghilangkan file log. Jika pengaturan Anda biasanya melebihi 50 GB per jam, disarankan agar Anda membagi lalu lintas antara beberapa pengumpul log.

Konten terkait

Pengumpul Log mendukung mode penyebaran Kontainer . Untuk informasi selengkapnya, lihat:

• Mengonfigurasi unggahan log otomatis menggunakan Docker lokal di Windows
• Mengonfigurasi unggahan log otomatis menggunakan Podman
• Mengonfigurasi unggahan log otomatis menggunakan Docker di Azure

Langkah berikutnya

Bekerja dengan data Cloud Discovery