Share via


Automatisch uploaden van logboeken configureren voor doorlopende rapporten

Met een logboekverzamelaar kunt u het uploaden van logboeken vanaf uw netwerk eenvoudig automatiseren. De logboekverzamelaar wordt uitgevoerd op uw netwerk en ontvangt logboeken via Syslog of FTP. Elk logboek wordt automatisch verwerkt, gecomprimeerd en verzonden naar de portal. FTP-logboeken worden geüpload naar Microsoft Defender voor Cloud Apps nadat het bestand de FTP-overdracht naar de logboekverzamelaar heeft voltooid. Voor Syslog schrijft de logboekverzamelaar de ontvangen logboeken naar de schijf. Vervolgens uploadt de collector het bestand naar Defender voor Cloud Apps wanneer het bestand groter is dan 40 kB.

Nadat een logboek is geüpload naar Defender voor Cloud Apps, wordt het verplaatst naar een back-upmap. De back-upmap slaat de laatste 20 logboeken op. Wanneer nieuwe logboeken binnenkomen, worden de oude verwijderd. Wanneer de schijfruimte van de logboekverzamelaar vol is, worden nieuwe logboeken verwijderd totdat er meer vrije schijfruimte is (dit moet niet gebeuren als aan de vereisten wordt voldaan). U ontvangt een waarschuwing op het tabblad Logboekverzamelaars van de instellingen voor het uploaden van logboeken wanneer dit gebeurt.

Voordat u automatische verzameling van logboekbestanden instelt, controleert u of uw logboek overeenkomt met het verwachte logboektype. U wilt ervoor zorgen dat Defender voor Cloud Apps uw specifieke bestand kunnen parseren. Zie Verkeerslogboeken gebruiken voor clouddetectie voor meer informatie.

Notitie

  • Defender voor Cloud Apps biedt ondersteuning voor het doorsturen van logboeken van uw SIEM-server naar de logboekverzamelaar, ervan uitgaande dat de logboeken worden doorgestuurd in de oorspronkelijke indeling. Het wordt echter ten zeerste aanbevolen dat u de logboekverzamelaar rechtstreeks integreert met uw firewall en/of proxy.
  • De logboekverzamelaar comprimeert gegevens voordat deze wordt geüpload. Het uitgaande verkeer op de logboekverzamelaar is 10% van de grootte van de verkeerslogboeken die worden ontvangen.
  • Als de logboekverzamelaar problemen ondervindt, ontvangt u een waarschuwing nadat de gegevens gedurende 48 uur niet zijn ontvangen.

Vereisten

  • Schijfruimte 250 GB
  • CPU-kernen: 2
  • CPU-architectuur: Intel® 64 en AMD 64
  • RAM: 4 GB
  • Uw firewall instellen zoals beschreven in netwerkvereisten

Notitie

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>

docker rm <collector_name>

Notitie

Als u een nieuwe versie van de logboekverzamelaar wilt installeren, moet u de logboekverzamelaar stoppen, de huidige installatiekopieën verwijderen en de nieuwe installatiekopieën installeren.

Prestaties logboekverzamelaar

De logboekverzamelaar kan een logboekcapaciteit van maximaal 50 GB per uur aan. De belangrijkste knelpunten in het logboekverzamelproces zijn:

  • Netwerkbandbreedte: de netwerkbandbreedte bepaalt de uploadsnelheid van het logboek.
  • I/O-prestaties van de virtuele machine : bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd beveiligingsmechanisme dat de snelheid waarmee logboeken binnenkomen bewaakt en vergelijkt met de uploadsnelheid. In geval van congestie laat de logboekverzamelaar logboekbestanden vallen. Als uw installatie doorgaans groter is dan 50 GB per uur, is het raadzaam om het verkeer tussen meerdere logboekverzamelaars op te splitsen.

De Log Collector ondersteunt de containerimplementatiemodus. Zie voor meer informatie:

Volgende stappen