Konfigurowanie automatycznego przekazywania dzienników na potrzeby raportów ciągłych

  • Artykuł

Moduły zbierające dzienniki pozwalają łatwo automatyzować proces przekazywania dzienników z sieci. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP. Każdy dziennik jest automatycznie przetwarzany, skompresowany i przesyłany do portalu. Dzienniki FTP są przekazywane do aplikacji Microsoft Defender dla Chmury po zakończeniu transferu FTP do modułu zbierającego dzienniki. W przypadku dziennika systemowego moduł zbierający dzienniki zapisuje odebrane dzienniki na dysku. Następnie moduł zbierający przekazuje plik do aplikacji Defender dla Chmury, gdy rozmiar pliku jest większy niż 40 KB.

Po przekazaniu dziennika do usługi Defender dla Chmury Apps zostanie on przeniesiony do katalogu kopii zapasowej. Katalog kopii zapasowej przechowuje 20 ostatnich dzienników. Po nadejściu nowych dzienników stare zostaną usunięte. Za każdym razem, gdy miejsce na dysku modułu zbierającego dzienniki jest pełne, moduł zbierający dzienniki usuwa nowe dzienniki, dopóki nie będzie więcej wolnego miejsca na dysku (nie powinno się tak zdarzyć, jeśli wymagania wstępne są prawidłowo spełnione). W takim przypadku na karcie Moduły zbierające dzienniki zostanie wyświetlone ostrzeżenie z ustawieniami Automatycznego przekazywania dzienników.

Przed skonfigurowaniem automatycznego zbierania plików dziennika sprawdź, czy dziennik jest zgodny z oczekiwanym typem dziennika. Chcesz upewnić się, że Defender dla Chmury Apps może przeanalizować określony plik. Aby uzyskać więcej informacji, zobacz Using traffic logs for Cloud Discovery (Używanie dzienników ruchu dla rozwiązania Cloud Discovery).

Uwaga

  • Defender dla Chmury Apps zapewnia obsługę przekazywania dzienników z serwera SIEM do modułu zbierającego dzienniki przy założeniu, że dzienniki są przekazywane w oryginalnym formacie. Zdecydowanie zaleca się jednak zintegrowanie modułu zbierającego dzienniki bezpośrednio z zaporą i/lub serwerem proxy.
  • Moduł zbierający dzienniki kompresuje dane przed przekazaniem. Ruch wychodzący w modułu zbierającym dzienniki będzie wynosić 10% rozmiaru odbieranych dzienników ruchu.
  • Jeśli moduł zbierający dzienniki napotka problemy, otrzymasz alert po odebraniu danych przez 48 godzin.

Wymagania wstępne

  • Miejsce na dysku 250 GB
  • Rdzenie procesora CPU: 2
  • Architektura procesora CPU: Intel® 64 i AMD 64
  • Ilość pamięci RAM: 4 GB
  • Ustaw zaporę zgodnie z opisem w temacie Wymagania dotyczące sieci

Uwaga

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub jeśli po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>

docker rm <collector_name>

Uwaga

Aby zainstalować nową wersję modułu zbierającego dzienniki, należy zatrzymać moduł zbierający dzienniki, usunąć bieżący obraz i zainstalować nowy.

Wydajność modułu zbierającego dzienniki

Moduł zbierający dzienniki może pomyślnie obsługiwać dzienniki o rozmiarze do 50 GB na godzinę. Głównymi wąskimi gardłami procesu zbierania dzienników są:

  • Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.
  • Wydajność operacji we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zaleca się podzielenie ruchu między wieloma modułami zbierającym dzienniki.

Powiązana zawartość

Moduł zbierający dzienniki obsługuje tryb wdrażania kontenera. Aby uzyskać więcej informacji, zobacz:

Następne kroki

Praca z danymi funkcji Cloud Discovery