다음을 통해 공유

Azure에서 Docker를 사용하여 자동 로그 업로드 구성

  • 아티클

이 문서에서는 Azure의 Ubuntu 또는 CentOS에서 Docker를 사용하여 클라우드용 Defender 앱의 연속 보고서에 대한 자동 로그 업로드를 구성하는 방법을 설명합니다.

필수 조건

시작하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.

요구 사항 설명
OS 다음 중 하나:
- Ubuntu 14.04, 16.04, 18.04 및 20.04
- CentOS 7.2 이상
디스크 공간 250GB
CPU 코어 2
CPU 아키텍처 Intel 64 및 AMD 64
RAM 4GB
방화벽 구성 네트워크 요구 사항에 정의된 대로

성능별 로그 수집기 계획

각 로그 수집기는 최대 10개의 데이터 원본으로 구성된 시간당 최대 50GB의 로그 용량을 성공적으로 처리할 수 있습니다. 로그 수집 프로세스의 주요 병목 상태는 다음과 같습니다.

  • 네트워크 대역폭 - 네트워크 대역폭은 로그 업로드 속도를 결정합니다.

  • 가상 머신의 I/O 성능 - 로그 수집기의 디스크에 로그가 기록되는 속도를 결정합니다. 로그 수집기에는 로그가 도착하는 속도를 모니터링하고 업로드 속도와 비교하는 기본 제공 보안 메커니즘이 있습니다. 정체가 발생할 경우 로그 수집기에서 로그 파일 삭제를 시작합니다. 설치 프로그램이 일반적으로 시간당 50GB를 초과하는 경우 여러 로그 수집기 간에 트래픽을 분할하는 것이 좋습니다.

10개 이상의 데이터 원본이 필요한 경우 여러 로그 수집기 간에 데이터 원본을 분할하는 것이 좋습니다.

데이터 원본 정의

  1. Microsoft Defender 포털에서 설정 > Cloud Apps > Cloud Discovery > 자동 로그 업로드를 선택합니다.

  2. 데이터 원본 탭에서 로그를 업로드하려는 각 방화벽 또는 프록시에 대해 일치하는 데이터 원본을 만듭니다.

    1. 데이터 원본 추가를 선택합니다.

    2. 데이터 원본 추가 대화 상자에서 데이터 원본의 이름을 입력한 다음 원본 및 수신자 유형을 선택합니다.

      원본을 선택하기 전에 예상 로그 파일의 보기 샘플을 선택하고 로그를 예상 형식과 비교합니다. 로그 파일 형식이 이 샘플과 일치하지 않는 경우 데이터 원본을 기타추가합니다.

      나열되지 않은 네트워크 어플라이언스로 작업하려면 다른 > 고객 로그 형식 또는 기타(수동 전용)를 선택합니다. 자세한 내용은 사용자 지정 로그 파서 작업을 참조 하세요.

    참고 항목

    보안 전송 프로토콜(FTPS 및 Syslog - TLS)과 통합하려면 종종 추가 설정 또는 방화벽/프록시가 필요합니다.

해당 로그를 사용하여 네트워크의 트래픽을 검색할 수 있는 각 방화벽 및 프록시에 대해 이 프로세스를 반복합니다.

조사 목적으로 각 디바이스의 상태를 개별적으로 모니터링하고, 각 디바이스가 다른 사용자 세그먼트에서 사용되는 경우 디바이스당 섀도 IT 검색을 탐색할 수 있도록 네트워크 디바이스당 전용 데이터 원본을 설정하는 것이 좋습니다.

로그 수집기 만들기

  1. Microsoft Defender 포털에서 설정 > Cloud Apps > Cloud Discovery > 자동 로그 업로드를 선택합니다.

  2. 로그 수집기 탭에서 로그 수집기 추가를 선택합니다.

  3. 로그 수집기 만들기 대화 상자에서 다음 세부 정보를 입력합니다.

    • 로그 수집기의 이름
    • Docker를 배포하는 데 사용할 컴퓨터의 개인 IP 주소인 호스트 IP 주소입니다. DNS 서버가 있거나 호스트 이름을 확인하는 것과 동등한 경우 호스트 IP 주소를 컴퓨터 이름으로 바꿀 수도 있습니다.

    그런 다음 데이터 원본 상자를 선택하여 수집기에 연결할 데이터 원본을 선택하고 업데이트를 선택하여 변경 내용을 저장합니다. 각 로그 수집기는 여러 데이터 원본을 처리할 수 있습니다.

    로그 수집기 만들기 대화 상자에는 수집기 구성을 가져오는 명령을 비롯한 추가 배포 세부 정보가 표시됩니다. 예시:

    로그 수집기 만들기 대화 상자에서 복사할 명령의 스크린샷

  4. 명령 옆에 있는 클립보드 아이콘으로 복사 복사 아이콘을 선택하여 클립보드에 복사합니다.

    로그 수집기 만들기 대화 상자에 표시되는 세부 정보는 선택한 원본 및 수신기 유형에 따라 다릅니다. 예를 들어 Syslog를 선택한 경우 대화 상자에는 syslog 수신기가 수신 대기하는 포트에 대한 세부 정보가 포함됩니다.

    클라우드용 Defender 앱과 통신하도록 로그 수집기를 구성할 때 필요하므로 화면 내용을 복사하고 로컬로 저장합니다.

  5. 내보내기를 선택하여 원본 구성을 로 내보냅니다. 어플라이언스에서 로그 내보내기를 구성하는 방법을 설명하는 CSV 파일입니다.

처음으로 FTP를 통해 로그 데이터를 보내는 사용자의 경우 FTP 사용자의 암호를 변경하는 것이 좋습니다. 자세한 내용은 FTP 암호 변경을 참조 하세요.

Azure에서 머신 배포

이 절차에서는 Ubuntu를 사용하여 컴퓨터를 배포하는 방법을 설명합니다. 다른 플랫폼의 경우 배포 단계가 약간 다릅니다.

  1. Azure 환경에서 새 Ubuntu 컴퓨터를 만듭니다.

  2. 컴퓨터가 시작되면 포트를 엽니다.

    1. 머신 보기에서 네트워킹으로 이동하여 관련 인터페이스를 두 번 클릭하여 선택합니다.

    2. 네트워크 보안 그룹으로 이동하고 관련 네트워크 보안 그룹을 선택합니다.

    3. 인바운드 보안 규칙으로 이동하여 추가를 클릭합니다.

    4. 고급 모드에서 다음 규칙을 추가합니다.

      속성 대상 포트 범위 프로토콜 원본 대상
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet 모두
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet 모두
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet 모두
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet 모두

    자세한 내용은 보안 규칙 작업을 참조 하세요.

  3. 컴퓨터로 돌아가서 연결 을 클릭하여 컴퓨터에서 터미널을 엽니다.

  4. sudo -i을(를) 사용하여 루트 권한으로 변경합니다.

  5. 소프트웨어 사용 조건에 동의하면 환경에 적합한 명령을 실행하여 이전 버전을 제거하고 Docker CE를 설치합니다.

    1. 이전 버전의 Docker를 제거합니다. yum erase docker docker-engine docker.io

    2. Docker 엔진 필수 구성 요소를 설치합니다. yum install -y yum-utils

    3. Docker 리포지토리 추가:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

    4. Docker 엔진 설치: yum -y install docker-ce

    5. Docker 시작

      systemctl start docker
systemctl enable docker

    6. Docker 설치 테스트: docker run hello-world

  6. 로그 수집기 만들기 대화 상자에서 이전에 복사한 명령을 실행합니다. 예시:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. 로그 수집기가 정상적으로 실행 중인지 확인하려면 다음 명령을 실행합니다. Docker logs <collector_name>. 성공적으로 완료되었습니다.라는 결과가 표시되어야 합니다.

네트워크 어플라이언스 온-프레미스 설정 구성

대화 상자의 지침에 따라 FTP 디렉터리의 전용 Syslog 포트로 로그를 주기적으로 내보내도록 네트워크 방화벽 및 프록시를 구성합니다. 예시:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

클라우드용 Defender 앱에서 배포 확인

로그 수집기 표에서 수집기 상태를 확인하고 상태가 연결됨인지 확인합니다. 생성됨인 경우 로그 수집기 연결 및 구문 분석이 완료되지 않았을 수 있습니다.

예시:

연결된 수집기 상태의 스크린샷

거버넌스 로그로 이동하여 로그가 주기적으로 포털에 업로드되고 있는지 확인할 수도 있습니다.

또는 다음 명령을 사용하여 Docker 컨테이너 내에서 로그 수집기 상태를 확인할 수 있습니다.

  1. 다음 명령을 사용하여 컨테이너에 로그인합니다. docker exec -it <Container Name> bash
  2. 다음 명령을 사용하여 로그 수집기 상태를 확인합니다. collector_status -p

배포 중에 문제가 있는 경우 클라우드 검색 문제 해결을 참조하세요.

선택 사항 - 사용자 지정 연속 보고서 만들기

로그가 클라우드용 Defender 앱에 업로드되고 있고 보고서가 생성되는지 확인합니다. 확인 후 사용자 지정 보고서를 만듭니다. Microsoft Entra 사용자 그룹을 기반으로 사용자 지정 검색 보고서를 만들 수 있습니다. 예를 들어 마케팅 부서의 클라우드 사용을 확인하려면 사용자 그룹 가져오기 기능을 사용하여 마케팅 그룹을 가져옵니다. 그런 다음, 이 그룹에 대한 사용자 지정 보고서를 만듭니다. IP 주소 태그 또는 IP 주소 범위를 기반으로 보고서를 사용자 지정할 수도 있습니다.

  1. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. Cloud Discovery에서 연속 보고서를 선택합니다.

  3. 보고서 만들기 단추를 클릭하고 필드를 입력합니다.

  4. 필터 아래에서 데이터 원본별, 가져온 사용자 그룹별 또는 IP 주소 태그 및 범위별로 데이터를 필터링할 수 있습니다.

    참고 항목

    연속 보고서에 필터를 적용할 때 선택 항목은 제외되지 않고 포함됩니다. 예를 들어 특정 사용자 그룹에 필터를 적용하면 해당 사용자 그룹만 보고서에 포함됩니다.

    사용자 지정 연속 보고서의 스크린샷.

로그 수집기 제거

기존 로그 수집기가 있고 다시 배포하기 전에 제거하려는 경우 또는 단순히 제거하려는 경우 다음 명령을 실행합니다.

docker stop <collector_name>
docker rm <collector_name>

다음 단계

로그 수집기 FTP 구성 수정

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.