Configurare il caricamento automatico dei log con Docker in servizio Azure Kubernetes (servizio Azure Kubernetes)
Questo articolo descrive come configurare il caricamento automatico dei log per i report continui nelle app di Defender per il cloud usando un contenitore Docker in servizio Azure Kubernetes (servizio Azure Kubernetes).
Nota
Microsoft Defender per il cloud App fa ora parte di Microsoft Defender XDR, che correla i segnali provenienti da tutta la famiglia di prodotti Microsoft Defender e fornisce funzionalità avanzate di rilevamento, indagine e risposta a livello di evento imprevisto. Per altre informazioni, vedere Microsoft Defender for Cloud Apps in Microsoft Defender XDR.
Installazione e configurazione
Accedere a Microsoft Defender XDR e selezionare Impostazioni Cloud Apps > Cloud Discovery > Caricamento> automatico del log.
Assicurarsi di disporre di un'origine dati definita nella scheda Origini dati . In caso contrario, selezionare Aggiungi un'origine dati per aggiungerne una.
Selezionare la scheda Agenti di raccolta log in cui sono elencati tutti gli agenti di raccolta log distribuiti nel tenant.
Selezionare il collegamento Aggiungi agente di raccolta log. Quindi, nella finestra di dialogo Crea agente di raccolta log immettere:
Campo Descrizione Nome Immettere un nome significativo, in base alle informazioni sulla chiave usate dall'agente di raccolta log, ad esempio lo standard di denominazione interno o un percorso del sito. Indirizzo IP host o FQDN Immettere l'indirizzo IP della macchina host o della macchina virtuale (VM) dell'agente di raccolta log. Assicurarsi che il servizio syslog o il firewall possano accedere all'indirizzo IP/FQDN immesso. Origini dati Selezionare l'origine dati da usare. Se si usano più origini dati, l'origine selezionata viene applicata a una porta separata in modo che l'agente di raccolta log possa continuare a inviare dati in modo coerente.
Ad esempio, l'elenco seguente mostra esempi di combinazioni di origine dati e porte:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Selezionare Crea per visualizzare altre istruzioni sullo schermo per la situazione specifica.
Passare alla configurazione del cluster del servizio Azure Kubernetes ed eseguire:
kubectl config use-context <name of AKS cluster>
Eseguire il comando helm usando la sintassi seguente:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
Trovare i valori per il comando helm usando il comando docker usato quando l'agente di raccolta è configurato. Ad esempio:
(echo <Generated ID>) | docker run --name SyslogTLStest
Al termine, i log mostrano il pull di un'immagine da mcr.microsoft.com e continuano a creare BLOB per il contenitore.
Contenuto correlato
Per altre informazioni, vedere Configurare il caricamento automatico dei log per i report continui.