Konfigurere automatisk loggopplasting for kontinuerlige rapporter
Loggsamlere lar deg enkelt automatisere loggopplasting fra nettverket. Loggsamleren kjører på nettverket og mottar logger over Syslog eller FTP. Hver logg behandles, komprimeres og sendes automatisk til portalen. FTP-logger lastes opp til Microsoft Defender for Cloud Apps etter at filen er ferdig med FTP-overføringen til Log Collector. For Syslog skriver Log Collector de mottatte loggene på disken. Deretter laster samleren opp filen til Defender for Cloud Apps når filstørrelsen er større enn 40 kB.
Når en logg er lastet opp til Defender for Cloud Apps, flyttes den til en sikkerhetskopikatalog. Sikkerhetskopimappen lagrer de siste 20 loggene. Når nye logger ankommer, slettes de gamle. Når diskplassen for loggsamleren er full, slipper loggsamleren nye logger til den har mer ledig diskplass (dette skal ikke skje hvis forutsetningene er riktig oppfylt). Du får en advarsel på Logg samlere-fanen i Opplastingslogger automatisk innstillinger når dette skjer.
Før du konfigurerer automatisk loggfilsamling, må du kontrollere at loggen samsvarer med den forventede loggtypen. Du vil forsikre deg om Defender for Cloud Apps kan analysere den bestemte filen. Hvis du vil ha mer informasjon, kan du se Bruke trafikklogger for skysøk.
Obs!
- Defender for Cloud Apps støtter videresending av logger fra SIEM-serveren til Log Collector, forutsatt at loggene videresendes i det opprinnelige formatet. Det anbefales imidlertid på det sterkeste at du integrerer loggsamleren direkte med brannmuren og/eller proxyen.
- Logginnsamlingen komprimerer data før de lastes opp. Den utgående trafikken på loggsamleren vil være 10 % av størrelsen på trafikkloggene den mottar.
- Hvis loggsamleren støter på problemer, mottar du et varsel etter at dataene ikke ble mottatt på 48 timer.
Forutsetninger
- Diskplass 250 GB
- CPU-kjerner: 2
- CPU-arkitektur: Intel® 64 og AMD 64
- RAM: 4 GB
- Angi brannmuren som beskrevet i nettverkskrav
Obs!
Hvis du har en eksisterende loggsamler og vil fjerne den før du distribuerer den på nytt, eller hvis du bare vil fjerne den, kjører du følgende kommandoer:
docker stop <collector_name>
docker rm <collector_name>
Obs!
Hvis du vil installere en ny logginnsamlingsversjon, må du stoppe loggsamleren, fjerne det gjeldende bildet og installere det nye.
Loggsamlerytelse
Log collector kan håndtere loggkapasitet på opptil 50 GB per time. De viktigste flaskehalsene i logginnsamlingsprosessen er:
- Nettverksbåndbredde – Nettverksbåndbredden bestemmer loggopplastingshastigheten.
- I/U-ytelsen til den virtuelle maskinen – Bestemmer hvor raskt loggene skrives til loggsamlerens disk. Loggsamleren har en innebygd sikkerhetsmekanisme som overvåker hastigheten loggene ankommer og sammenligner den med opplastingshastigheten. I tilfelle overbelastning begynner loggsamleren å slippe loggfiler. Hvis oppsettet vanligvis overskrider 50 GB per time, anbefales det at du deler trafikken mellom flere loggsamlere.
Beslektet innhold
Log Collector støtter beholderdistribusjonsmodus . Hvis du vil ha mer informasjon, kan du se:
- Konfigurer automatisk opplasting av logg ved hjelp av lokal Docker i Windows
- Konfigurer automatisk opplasting av logg ved hjelp av Podman
- Konfigurer automatisk opplasting av logg ved hjelp av Docker i Azure
- Konfigurer automatisk opplasting av logg ved hjelp av Docker i Azure Kubernetes Service (AKS)