연속 보고서에 대한 자동 로그 업로드 구성
로그 수집기를 사용하면 네트워크에서 로그 업로드를 쉽게 자동화할 수 있습니다. 로그 수집기는 네트워크에서 실행하고 Syslog 또는 FTP를 통해 로그를 수신합니다. 각 로그는 자동으로 처리, 압축 및 포털로 전송됩니다. FTP 로그는 파일이 로그 수집기로 FTP 전송을 완료한 후 Cloud Apps용 Microsoft Defender에 업로드됩니다. Syslog의 경우 로그 수집기는 받은 로그를 디스크에 기록합니다. 그런 다음 수집기는 파일 크기가 40KB보다 크면 Defender for Cloud Apps에 파일을 업로드합니다.
로그가 Defender for Cloud Apps에 업로드되면 백업 디렉터리로 이동됩니다. 백업 디렉터리는 최근 로그 20개를 저장합니다. 새 로그가 도착하면 이전 로그가 삭제됩니다. 로그 수집기 디스크 공간이 가득 찼을 때마다 로그 수집기는 사용 가능한 디스크 공간이 더 많을 때까지 새 로그를 삭제합니다(필수 구성 요소가 제대로 충족되면 발생하지 않음). 이 경우 자동으로 로그 업로드 설정의 로그 수집기 탭에 경고가 표시됩니다.
자동 로그 파일 수집을 설정하기 전에 로그가 예상 로그 유형과 일치하는지 확인하세요. Defender for Cloud Apps가 특정 파일을 구문 분석할 수 있는지 확인합니다. 자세한 내용은 클라우드 검색에 트래픽 로그 사용을 참조하세요.
참고 항목
- 클라우드용 Defender 앱은 로그가 원래 형식으로 전달되고 있다고 가정하여 SIEM 서버에서 로그 수집기로 로그를 전달하도록 지원합니다. 그러나 로그 수집기를 방화벽 및/또는 프록시와 직접 통합하는 것이 좋습니다.
- 로그 수집기는 데이터가 업로드되기 전에 압축합니다. 로그 수집기의 아웃바운드 트래픽은 수신하는 트래픽 로그 크기의 10%가 됩니다.
- 로그 수집기에 문제가 발생하는 경우 데이터를 48시간 동안 수신하지 못하면 알림을 받게 됩니다.
필수 조건
- 디스크 공간 250GB
- CPU 코어: 2
- CPU 아키텍처: Intel® 64 및 AMD 64
- RAM: 4GB
- 네트워크 요구 사항에 설명된 대로 방화벽 설정
참고 항목
기존 로그 수집기가 있고 다시 배포하기 전에 제거하려는 경우 또는 단순히 제거하려는 경우 다음 명령을 실행합니다.
docker stop <collector_name>
docker rm <collector_name>
참고 항목
새 로그 수집기 버전을 설치하려면 로그 수집기를 중지하고, 현재 이미지를 제거하고, 새 이미지를 설치해야 합니다.
로그 수집기 성능
로그 수집기는 시간당 최대 50GB의 로그 용량을 성공적으로 처리할 수 있습니다. 로그 수집 프로세스의 주요 병목 상태는 다음과 같습니다.
- 네트워크 대역폭 - 네트워크 대역폭은 로그 업로드 속도를 결정합니다.
- 가상 머신의 I/O 성능 - 로그 수집기의 디스크에 로그가 기록되는 속도를 결정합니다. 로그 수집기에는 로그가 도착하는 속도를 모니터링하고 업로드 속도와 비교하는 기본 제공 보안 메커니즘이 있습니다. 정체가 발생할 경우 로그 수집기에서 로그 파일 삭제를 시작합니다. 설치가 일반적으로 시간당 50GB를 초과할 경우 여러 로그 수집기 간에 트래픽을 분할하는 것이 좋습니다.
관련 콘텐츠
로그 수집기는 컨테이너 배포 모드를 지원합니다. 자세한 내용은 다음을 참조하세요.
- Windows에서 온-프레미스 Docker를 사용하여 자동 로그 업로드 구성
- Podman을 사용하여 자동 로그 업로드 구성
- Azure에서 Docker를 사용하여 자동 로그 업로드 구성
- AKS(Azure Kubernetes Service)에서 Docker를 사용하여 자동 로그 업로드 구성