Configurar o carregamento de registos automático para relatórios contínuos
Os recoletores de registos permitem-lhe automatizar facilmente o carregamento de registos a partir da sua rede. O recoletor de registos é executado na sua rede e recebe os registos através de Syslog ou FTP. Cada log é processado, compactado e transmitido automaticamente para o portal. Os logs de FTP são carregados no Microsoft Defender for Cloud Apps depois que o arquivo termina a transferência FTP para o Coletor de Logs. Para o Syslog, o Coletor de Log grava os logs recebidos no disco. Em seguida, o coletor carrega o arquivo para o Defender for Cloud Apps quando o tamanho do arquivo é maior que 40 KB.
Depois que um log é carregado no Defender for Cloud Apps, ele é movido para um diretório de backup. O diretório de backup armazena os últimos 20 logs. Quando novos logs chegam, os antigos são excluídos. Sempre que o espaço em disco do coletor de logs estiver cheio, o coletor de logs descartará novos logs até ter mais espaço livre em disco (isso não deve acontecer se os pré-requisitos forem atendidos corretamente). Você receberá um aviso na guia Coletores de log das configurações Carregar logs automaticamente quando isso acontecer.
Antes de configurar a coleta automática de arquivos de log, verifique se o log corresponde ao tipo de log esperado. Você quer ter certeza de que o Defender for Cloud Apps pode analisar seu arquivo específico. Para obter mais informações, consulte Usando logs de tráfego para o Cloud Discovery.
Nota
- O Defender for Cloud Apps fornece suporte para o encaminhamento de logs do seu servidor SIEM para o Coletor de Logs, supondo que os logs estejam sendo encaminhados em seu formato original. No entanto, é altamente recomendável que você integre o coletor de log diretamente com seu firewall e/ou proxy.
- O coletor de log compacta dados antes de serem carregados. O tráfego de saída no coletor de logs será 10% do tamanho dos logs de tráfego recebidos.
- Se o coletor de logs encontrar problemas, você receberá um alerta depois que os dados não forem recebidos por 48 horas.
Pré-requisitos
- Espaço em disco 250 GB
- Núcleos da CPU: 2
- Arquitetura da CPU: Intel® 64 e AMD 64
- RAM: 4 GB
- Defina o firewall conforme descrito em Requisitos de rede
Nota
Se você tiver um coletor de log existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:
docker stop <collector_name>
docker rm <collector_name>
Nota
Para instalar uma nova versão do coletor de log, você precisará parar o coletor de log, remover a imagem atual e instalar a nova.
Desempenho do recoletor de registos
O recoletor de registos pode processar com êxito uma capacidade de registos de até 50 GB por hora. Os principais limites do processo de recolha de registos são:
- Largura de banda da rede - A largura de banda da rede determina a velocidade de carregamento do log.
- Desempenho de E/S da máquina virtual - Determina a velocidade com que os logs são gravados no disco do coletor de logs. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a configuração normalmente exceder 50 GB por hora, é recomendável dividir o tráfego entre vários coletores de log.
Conteúdos relacionados
O coletor de log suporta o modo de implantação de contêiner . Para obter mais informações, consulte:
- Configurar o carregamento automático de logs usando o Docker local no Windows
- Configurar o carregamento automático de logs usando o Podman
- Configurar o carregamento automático de logs usando o Docker no Azure