Bagikan melalui

Mengonfigurasi unggahan log otomatis menggunakan Docker lokal di Windows

  • Artikel

Anda dapat mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan di Defender untuk Cloud Apps menggunakan Docker di Windows.

Prasyarat

  • Spesifikasi arsitektur:

    Spesifikasi Deskripsi
    Sistem operasi Salah satu hal berikut ini:
  • Windows 10 (Pembaruan fall creators)
  • Windows Server versi 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Ruang disk 250 GB
    Inti CPU 2
    Arsitektur CPU Intel 64 dan AMD 64
    RAM 4 GB

    Untuk daftar arsitektur Docker yang didukung, lihat Dokumentasi penginstalan Docker.

  • Atur firewall Anda sesuai kebutuhan. Untuk informasi selengkapnya, lihat Persyaratan jaringan.

  • Virtualisasi pada sistem operasi harus diaktifkan dengan Hyper-V.

Penting

  • Pelanggan perusahaan dengan lebih dari 250 pengguna atau lebih dari $ 10 juta USD dalam pendapatan tahunan memerlukan langganan berbayar untuk menggunakan Docker Desktop untuk Windows. Untuk informasi selengkapnya, lihat Gambaran umum langganan Docker.
  • Pengguna harus masuk ke Docker untuk mengumpulkan log. Sebaiknya sarankan pengguna Docker Anda untuk memutuskan sambungan tanpa keluar.
  • Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi VMWare.
  • Docker untuk Windows tidak didukung secara resmi dalam skenario virtualisasi berlapis. Jika Anda masih berencana untuk menggunakan virtualisasi berlapis, lihat panduan resmi Docker.
  • Untuk informasi tentang konfigurasi tambahan dan pertimbangan implementasi untuk Docker untuk Windows, lihat Menginstal Docker Desktop di Windows.

Menghapus pengumpul log yang ada

Jika Anda memiliki pengumpul log yang sudah ada dan ingin menghapusnya sebelum menyebarkannya lagi, atau jika Anda hanya ingin menghapusnya, jalankan perintah berikut:

docker stop <collector_name>
docker rm <collector_name>

Performa pengumpul log

Pengumpul log dapat berhasil menangani kapasitas log hingga 50 GB per jam. Hambatan utama dalam proses pengumpulan log adalah:

  • Bandwidth jaringan - Bandwidth jaringan Anda menentukan kecepatan unggahan log.

  • Performa I/O komputer virtual - Menentukan kecepatan log ditulis ke disk pengumpul log. Pengumpul log memiliki mekanisme keselamatan bawaan yang memantau tingkat kedatangan log dan membandingkannya dengan tingkat unggahan. Dalam kasus kemacetan, pengumpul log mulai menghilangkan file log. Jika pengaturan Anda biasanya melebihi 50 GB per jam, disarankan agar Anda membagi lalu lintas antara beberapa pengumpul log.

Langkah 1 – Konfigurasi portal web

Gunakan langkah-langkah berikut untuk menentukan sumber data Anda dan menautkannya ke pengumpul log. Satu pengumpul log dapat menangani beberapa sumber data.

  1. Di portal Pertahanan Microsoft, pilih >pengaturan Cloud Apps>Cloud Discovery>Tab Unggah>log otomatis Sumber data.

  2. Untuk setiap firewall atau proksi tempat Anda ingin mengunggah log, buat sumber data yang cocok:

    1. Pilih +Tambahkan sumber data.

      Cuplikan layar tombol Tambahkan sumber data.

    2. Beri nama proksi atau firewall Anda.

      Cuplikan layar dialog Tambahkan sumber data

    3. Pilih appliance dari daftar Sumber . Jika Anda memilih Format log kustom untuk bekerja dengan appliance jaringan yang tidak tercantum, lihat Bekerja dengan pengurai log kustom untuk instruksi konfigurasi.

    4. Bandingkan log Anda dengan sampel format log yang diharapkan. Jika format file log Anda tidak cocok dengan sampel ini, Anda harus menambahkan sumber data Anda sebagai Lainnya.

    5. Atur jenis Penerima ke FTP, FTPS, Syslog – UDP, atau Syslog – TCP, atau Syslog – TLS.

      Catatan

      Mengintegrasikan dengan protokol transfer aman (FTPS dan Syslog – TLS) sering memerlukan pengaturan tambahan untuk firewall/proksi Anda.

    6. Ulangi proses ini untuk setiap firewall dan proksi yang lognya dapat digunakan untuk mendeteksi lalu lintas di jaringan Anda. Kami menyarankan agar Anda menyiapkan sumber data khusus per perangkat jaringan untuk memungkinkan Anda:

      • Pantau status setiap perangkat secara terpisah, untuk tujuan penyelidikan.
      • Jelajahi Penemuan IT Bayangan per perangkat, jika setiap perangkat digunakan oleh segmen pengguna yang berbeda.

  3. Di bagian atas halaman, pilih tab Pengumpul log lalu pilih Tambahkan pengumpul log.

  4. Dalam dialog Buat pengumpul log:

    1. Di bidang Nama, masukkan nama yang bermakna untuk pengumpul log Anda.

    2. Beri nama kolektor log dan masukkan alamat IP Host (alamat IP privat) komputer yang akan Anda gunakan untuk menyebarkan Docker. Alamat IP host dapat diganti dengan nama komputer, jika ada server DNS (atau setara) yang akan menyelesaikan nama host.

    3. Pilih semua Sumber data yang ingin Anda sambungkan ke pengumpul, dan pilih Perbarui untuk menyimpan konfigurasi.

      Informasi penyebaran lebih lanjut muncul di bagian Langkah berikutnya, termasuk perintah yang akan Anda gunakan nanti untuk mengimpor konfigurasi pengumpul. Jika Anda memilih Syslog, informasi ini juga menyertakan data tentang port mana yang didengarkan pendengar Syslog.

    4. Gunakan tombol salin ke ikon clipboard. Salin untuk menyalin perintah ke clipboard dan menyimpannya ke lokasi terpisah.

    5. Gunakan tombol Ekspor Ekspor untuk mengekspor konfigurasi sumber data yang diharapkan. Konfigurasi ini menjelaskan bagaimana Anda harus mengatur ekspor log di appliance Anda.

Untuk pengguna yang mengirim data log melalui FTP untuk pertama kalinya, sebaiknya ubah kata sandi untuk pengguna FTP. Untuk informasi selengkapnya, lihat Mengubah kata sandi FTP.

Langkah 2 - Penyebaran lokal komputer Anda

Langkah-langkah berikut menjelaskan penyebaran di Windows. Langkah-langkah penyebaran untuk platform lain sedikit berbeda.

  1. Buka terminal PowerShell sebagai administrator di komputer Windows Anda.

  2. Jalankan perintah berikut untuk mengunduh file skrip PowerShell penginstal Windows Docker:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Untuk memvalidasi bahwa alat penginstal ditandatangani oleh Microsoft, lihat Memvalidasi tanda tangan penginstal.

  3. Untuk mengaktifkan eksekusi skrip PowerShell, jalankan:

    Set-ExecutionPolicy RemoteSigned`

  4. Untuk menginstal klien Docker di komputer Anda, jalankan:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Komputer secara otomatis dimulai ulang setelah Anda menjalankan perintah.

  5. Ketika komputer aktif dan berjalan lagi, jalankan perintah yang sama lagi:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Jalankan alat penginstal Docker, pilih untuk menggunakan WSL 2 alih-alih Hyper-V.

    Setelah penginstalan selesai, komputer secara otomatis dimulai ulang lagi.

  7. Setelah mulai ulang selesai, buka klien Docker dan terima perjanjian langganan Docker.

  8. Jika penginstalan WSL2 tidak selesai, pesan menunjukkan untuk menunjukkan bahwa kernel Linux WSL 2 diinstal menggunakan paket pembaruan MSI terpisah.

  9. Selesaikan penginstalan dengan mengunduh paket. Untuk informasi selengkapnya, lihat Mengunduh paket pembaruan kernel Linux.

  10. Buka kembali klien Docker Desktop dan pastikan klien telah dimulai.

  11. Buka perintah sebagai administrator dan masukkan perintah jalankan yang telah Anda salin sebelumnya dari portal di Langkah 1 – Konfigurasi portal web.

    Jika Anda perlu mengonfigurasi proksi, tambahkan alamat IP proksi dan nomor port. Misalnya, jika detail proksi Anda adalah 172.31.255.255:8080, perintah eksekusi yang diperbarui adalah:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Untuk memverifikasi bahwa pengumpul berjalan dengan benar, jalankan:

    docker logs <collector_name>

    Anda akan melihat pesan: Berhasil diselesaikan! Misalnya:

    Cuplikan layar perintah yang dijalankan kolektor dengan benar.

Langkah 3 - Konfigurasi lokal appliance jaringan Anda

Konfigurasikan firewall dan proksi jaringan Anda untuk mengekspor log secara berkala ke port Syslog khusus direktori FTP sesuai dengan petunjuk dalam dialog. Contohnya:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Langkah 4 - Verifikasi keberhasilan penyebaran di portal

Periksa status pengumpul dalam tabel pengumpul log dan pastikan statusnya Tersambung. Jika Dibuat, ada kemungkinan koneksi pengumpul log dan penguraian belum selesai.

Verifikasi bahwa status kolektor Tersambung.

Anda juga dapat membuka log Tata Kelola dan memverifikasi bahwa log sedang diunggah secara berkala ke portal.

Atau, Anda dapat memeriksa status pengumpul log dari dalam kontainer docker menggunakan perintah berikut:

  1. Masuk ke kontainer:

    docker exec -it <Container Name> bash

  2. Verifikasi status pengumpul log:

    collector_status -p

Jika Anda mengalami masalah selama penyebaran, lihat Pemecahan masalah penemuan cloud.

Opsional - Membuat laporan berkelanjutan kustom

Verifikasi bahwa log sedang diunggah ke Defender untuk Cloud Apps dan laporan tersebut dibuat. Setelah verifikasi, buat laporan kustom. Anda dapat membuat laporan penemuan kustom berdasarkan grup pengguna Microsoft Entra. Misalnya, jika Anda ingin melihat penggunaan cloud departemen pemasaran Anda, impor grup pemasaran menggunakan fitur impor grup pengguna. Kemudian buat laporan kustom untuk grup ini. Anda juga dapat menyesuaikan laporan berdasarkan tag alamat IP atau rentang alamat IP.

  1. Di portal Pertahanan Microsoft, pilih Pengaturan>Cloud Apps>Cloud Discovery>Laporan berkelanjutan.

  2. Pilih tombol Buat laporan dan isi bidang.

  3. Di bawah Filter , Anda dapat memfilter data menurut sumber data, menurut grup pengguna yang diimpor, atau menurut tag dan rentang alamat IP.

    Catatan

    Saat menerapkan filter pada laporan berkelanjutan, pilihan akan disertakan, tidak dikecualikan. Misalnya, jika Anda menerapkan filter pada grup pengguna tertentu, hanya grup pengguna tersebut yang akan disertakan dalam laporan.

    Laporan berkelanjutan kustom.

Opsional - Memvalidasi tanda tangan alat penginstal

Untuk memastikan bahwa alat penginstal docker ditandatangani oleh Microsoft:

  1. Klik kanan pada file dan pilih Properti.

  2. Pilih Tanda Tangan Digital dan pastikan tanda tangan digital ini berbuah OK.

  3. Pastikan bahwa Microsoft Corporation terdaftar sebagai satu-satunya entri di bawah Nama penanda tangan.

    Tanda tangan digital valid.

    Jika tanda tangan digital tidak valid, tanda tangan digital ini tidak valid:

    Tanda tangan digital tidak valid.

Langkah berikutnya

Mengubah konfigurasi FTP pengumpul log

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.