Configurare il caricamento automatico dei log usando Docker locale in Linux

È possibile configurare il caricamento automatico dei log per i report continui in Defender for Cloud Apps usando un Docker in un server Ubuntu o CentOS locale.

Importante

Se si usa RHEL versione 7.1 o successiva, è necessario usare Podman per la raccolta automatica dei log anziché Docker. Per altre informazioni, vedere Configurare il caricamento automatico dei log con Podman.

Prerequisiti

Specificazione	Descrizione
Sistema operativo	Uno dei seguenti: Ubuntu 20.04 e 22.04 CentOS 7.2 o versione successiva
Spazio su disco	250 GB
Core CPU	2
Architettura della CPU	Intel 64 e AMD 64
RAM	4 GB

Assicurarsi di impostare il firewall in base alle esigenze. Per altre informazioni, vedere Requisiti di rete.

Rimuovere un agente di raccolta log esistente

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>
docker rm <collector_name>

Prestazioni dell'agente di raccolta log

L'agente di raccolta log può gestire correttamente la capacità del log fino a 50 GB all'ora. I colli di bottiglia principali nel processo di raccolta dei log sono:

• Larghezza di banda di rete: la larghezza di banda di rete determina la velocità di caricamento del log.

• Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log dispone di un meccanismo di sicurezza predefinito che monitora la frequenza di arrivo dei log e lo confronta con la frequenza di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare i file di log. Se l'installazione supera in genere 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Passaggio 1: Configurazione del portale Web: definire le origini dati e collegarle a un agente di raccolta log

1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery> - SchedaCaricamento> automatico deidati del log.

2. Per ogni firewall o proxy da cui caricare i log, creare un'origine dati corrispondente.

   1. Selezionare +Aggiungi origine dati.

      

   2. Assegnare un nome al proxy o al firewall.

      

   3. Selezionare l'appliance dall'elenco Origine . Se si seleziona Formato di log personalizzato per l'uso con un'appliance di rete non elencata, vedere Uso del parser di log personalizzato per istruzioni di configurazione.

   4. Confrontare il log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.

   5. Impostare il tipo di ricevitore su FTP, FTPS, Syslog - UDP o Syslog - TCP o Syslog - TLS.

      Nota

      L'integrazione con i protocolli di trasferimento sicuro (FTPS e Syslog - TLS) richiede spesso impostazioni aggiuntive per il firewall/proxy.

   6. Ripetere questo processo per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete. È consigliabile configurare un'origine dati dedicata per ogni dispositivo di rete per consentire di:

   • Monitorare lo stato di ogni dispositivo separatamente, a scopo di indagine.
   • Esplorare Shadow IT Discovery per dispositivo, se ogni dispositivo viene usato da un segmento utente diverso.

3. Nella parte superiore della pagina selezionare la scheda Raccolta log e quindi selezionare Aggiungi agente di raccolta log.

4. Nella finestra di dialogo Crea agente di raccolta log :

   1. Nel campo Nome immettere un nome significativo per l'agente di raccolta log.

   2. Assegnare un nome all'agente di raccolta log e immettere l'indirizzo IP host (indirizzo IP privato) del computer che verrà usato per distribuire Docker. L'indirizzo IP host può essere sostituito con il nome del computer, se è presente un server DNS (o equivalente) che risolverà il nome host.

   3. Selezionare tutte le origini dati che si desidera connettere all'agente di raccolta e selezionare Aggiorna per salvare la configurazione.

      Altre informazioni sulla distribuzione vengono visualizzate nella sezione Passaggi successivi , incluso un comando che verrà usato in seguito per importare la configurazione dell'agente di raccolta. Se è stato selezionato Syslog, queste informazioni includono anche i dati sulla porta su cui è in ascolto il listener Syslog.

   4. Usare Pulsante Copia per copiare il comando negli Appunti e salvarlo in un percorso separato.

   5. Usare l'opzione Pulsante Esporta per esportare la configurazione dell'origine dati prevista. Questa configurazione descrive come impostare l'esportazione del log nelle appliance.

Per gli utenti che inviano i dati di log tramite FTP per la prima volta, è consigliabile modificare la password per l'utente FTP. Per altre informazioni, vedere Modifica della password FTP.

Passaggio 2: Distribuzione locale del computer

I passaggi seguenti descrivono la distribuzione in Ubuntu. I passaggi di distribuzione per altre piattaforme supportate potrebbero essere leggermente diversi.

1. Aprire un terminale nel computer Ubuntu.

2. Passare ai privilegi radice eseguendo:

   sudo -i
   

3. Per ignorare un proxy nella rete, eseguire i due comandi seguenti:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Se si accettano le condizioni di licenza software, disinstallare le versioni precedenti e installare Docker CE eseguendo i comandi appropriati per l'ambiente:

   CentOS

   1. Rimuovere le versioni precedenti di Docker:

      yum erase docker docker-engine docker.io
      

   2. Installare i prerequisiti del motore Docker:

      yum install -y yum-utils
      

   3. Aggiungere il repository Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Installare il motore Docker:

      yum -y install docker-ce
      

   5. Avviare Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testare l'installazione di Docker:

      docker run hello-world
      

   Red Hat 7

   1. Rimuovere le versioni precedenti di Docker:

      yum erase docker docker-engine docker.io
      

   2. Installare i prerequisiti del motore Docker:

      yum install -y yum-utils
      yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
      

   3. Aggiungere il repository Docker:

      sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
      

   4. Installare le dipendenze:

      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
      sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      

   5. Installare il motore Docker:

      sudo yum install docker-ce
      

   6. Avviare Docker:

      systemctl start docker
      systemctl enable docker
      

   7. Testare l'installazione di Docker: docker run hello-world

   Red Hat 8

   1. Rimuovere il modulo container-tools:

      yum module remove container-tools
      

   2. Aggiungere il repository Docker CE:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      

   3. Modificare il file del repository yum per usare i pacchetti CentOS 8:

      sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo
      

   4. Installare Docker CE:

      yum install docker-ce
      

   5. Avviare Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testare l'installazione di Docker:

      docker run hello-world
      

   Ubuntu

   1. Rimuovere le versioni precedenti di Docker:

      apt-get remove docker docker-engine docker.io
      

   2. Se si esegue l'installazione in Ubuntu 14.04, installare il pacchetto linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Installare i prerequisiti del motore Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Verificare che l'UID dell'impronta digitale apt-key sia docker@docker.com:

      apt-key fingerprint | grep uid
      

   5. Installare il motore Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testare l'installazione di Docker:

      docker run hello-world
      

5. Distribuire l'immagine dell'agente di raccolta nel computer di hosting importando la configurazione dell'agente di raccolta. Importare la configurazione copiando il comando run generato nel portale. Se è necessario configurare un proxy, aggiungere l'indirizzo IP del proxy e il numero di porta. Ad esempio, se i dettagli del proxy sono 172.31.255.255:8080, il comando di esecuzione aggiornato è:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

6. Verificare che l'agente di raccolta sia in esecuzione correttamente con il comando seguente:

   docker logs <collector_name>
   

   Verrà visualizzato il messaggio: Completato correttamente. Per esempio:

   

Passaggio 3: Configurazione locale delle appliance di rete

Configurare i firewall e i proxy di rete per esportare periodicamente i log nella porta Syslog dedicata o nella directory FTP in base alle istruzioni nella finestra di dialogo. Ad esempio:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passaggio 4: Verificare la corretta distribuzione nel portale

Controllare lo stato dell'agente di raccolta nella tabella Agente di raccolta log e verificare che lo stato sia Connesso. Se è Creato, è possibile che la connessione e l'analisi dell'agente di raccolta log non siano state completate.

È anche possibile passare al log di governance e verificare che i log vengano caricati periodicamente nel portale.

In alternativa, è possibile controllare lo stato dell'agente di raccolta log dal contenitore docker usando i comandi seguenti:

1. Accedere al contenitore:

   docker exec -it <Container Name> bash
   

2. Verificare lo stato dell'agente di raccolta log:

   collector_status -p
   

In caso di problemi durante la distribuzione, vedere Risoluzione dei problemi di individuazione del cloud.

Facoltativo: creare report continui personalizzati

Verificare che i log vengano caricati in Defender for Cloud Apps e che vengano generati report. Dopo la verifica, creare report personalizzati. È possibile creare report di individuazione personalizzati basati su gruppi di utenti Microsoft Entra. Ad esempio, se si vuole visualizzare l'uso cloud del reparto marketing, importare il gruppo di marketing usando la funzionalità importa gruppo di utenti. Creare quindi un report personalizzato per questo gruppo. È anche possibile personalizzare un report in base al tag di indirizzo IP o agli intervalli di indirizzi IP.

1. Nel portale di Microsoft Defender selezionare Impostazioni>App> cloudCloud Discovery>Report continui.

2. Selezionare il pulsante Crea report e compilare i campi.

3. In Filtri è possibile filtrare i dati in base all'origine dati, al gruppo di utenti importato o ai tag e agli intervalli di indirizzi IP.

   Nota

   Quando si applicano filtri ai report continui, la selezione verrà inclusa, non esclusa. Ad esempio, se si applica un filtro a un determinato gruppo di utenti, solo tale gruppo utente verrà incluso nel report.

   

Passaggi successivi

Modificare la configurazione FTP dell'agente di raccolta log

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.