ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化できます。 ログ コレクターはネットワーク上で実行され、Syslog または FTP を使用してログを受信します。 各ログは自動的に処理、圧縮され、ポータルに送信されます。 ファイルがログ コレクターへの FTP 転送を完了した後、FTP ログは Microsoft Defender for Cloud Apps にアップロードされます。 Syslog の場合、ログ コレクターは受信したログをディスクに書き込みます。 次に、ファイル サイズが 40 KB を超えると、コレクターはファイルを Defender for Cloud Apps にアップロードします。
ログは、Defender for Cloud Apps にアップロードされた後、バックアップ ディレクトリに移動されます。 バックアップ ディレクトリには、最新の 20 のログが保存されます。 新しいログを受信すると、古いログは削除されます。 ログ コレクターのディスク領域がいっぱいになると、ログ コレクターは空きディスク領域が増えるまで新しいログを削除します (前提条件が適切に満たされている場合は、この問題は発生しません)。 この場合、[ログを自動的にアップロードする] 設定の [ログ コレクター] タブに警告が表示されます。
自動ログ ファイル収集を設定する前に、ログが予想されるログの種類と一致することを確認します。 Defender for Cloud Apps が特定のファイルを解析できることを確認したいと考えています。 詳細については、「 クラウド検出にトラフィック ログを使用する」を参照してください。
注:
- Defender for Cloud Appsは、ログが元の形式で転送されていると仮定して、SIEM サーバーからログ コレクターにログを転送するためのサポートを提供します。 ただし、ログ コレクターをファイアウォールやプロキシと直接統合することを強くお勧めします。
- ログ コレクターは、アップロード前にデータを圧縮します。 ログ コレクターの送信トラフィックは、受信するトラフィック ログのサイズの 10% になります。
- ログ コレクターで問題が発生した場合は、データが 48 時間受信されなかった後にアラートが表示されます。
前提条件
- ディスク領域 250 GB
- CPU コア: 2
- CPU アーキテクチャ: Intel® 64 と AMD 64
- RAM: 4 GB
- 「ネットワーク要件」の説明に従ってファイアウォールを設定する
注:
既存のログ コレクターがあり、再度デプロイする前に削除する場合、または単に削除する場合は、次のコマンドを実行します。
docker stop <collector_name>
docker rm <collector_name>
注:
新しいログ コレクター バージョンをインストールするには、ログ コレクターを停止し、現在のイメージを削除して、新しいイメージをインストールする必要があります。
ログ コレクターのパフォーマンス
ログ コレクターは、1 時間あたり最大 50 GB のログ容量を正常に処理できます。 ログ収集プロセスのメインボトルネックは次のとおりです。
- ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。
- 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログを書き込む速度を決定します。 ログ コレクターには、ログが到着したレートを監視し、アップロード率と比較する安全メカニズムが組み込まれています。 輻輳が発生した場合、ログ コレクターはログ ファイルの削除を開始します。 通常、セットアップが 1 時間あたり 50 GB を超える場合は、複数のログ コレクター間でトラフィックを分割することをお勧めします。
関連コンテンツ
ログ コレクターでは、 コンテナー のデプロイ モードがサポートされています。 詳細については、以下を参照してください:
- オンプレミスの Docker on Windows を使用してログの自動アップロードを構成する
- Podman を使用して自動ログ アップロードを構成する
- Azure で Docker を使用してログの自動アップロードを構成する
- Azure Kubernetes Service (AKS) で Docker を使用して自動ログ アップロードを構成する