Поделиться через

Настройка автоматической отправки журналов с помощью Docker в Служба Azure Kubernetes (AKS) (предварительная версия)

  • Статья

В этой статье описывается настройка автоматической отправки журналов для непрерывных отчетов в приложениях Defender для облака с помощью контейнера Docker в Служба Azure Kubernetes (AKS).

Примечание.

Microsoft Defender для облака Приложения теперь являются частью XDR в Microsoft Defender, который сопоставляет сигналы из набора Microsoft Defender и обеспечивает обнаружение, исследование и мощные возможности реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender для облака Приложения в XDR в Microsoft Defender.

Установка и настройка

  1. Войдите в Microsoft Defender XDR и выберите "Параметры > Cloud Apps > Cloud Discovery > Automatic upload".

  2. Убедитесь, что у вас есть источник данных, определенный на вкладке "Источники данных". Если это не так, нажмите кнопку "Добавить источник данных", чтобы добавить его.

  3. Выберите вкладку сборщиков журналов, в которой перечислены все сборщики журналов , развернутые в клиенте.

  4. Выберите ссылку "Добавить сборщик журналов ". Затем в диалоговом окне "Создание сборщика журналов" введите следующее:

    Поле Описание:
    Имя Введите понятное имя на основе ключевых сведений, которые использует сборщик журналов, таких как внутренний стандарт именования или расположение сайта.
    IP-адрес узла или полное доменное имя Введите ip-адрес хост-машины или виртуальной машины сборщика журналов. Убедитесь, что служба системного журнала или брандмауэр могут получить доступ к IP-адресу или полному доменному имени.
    Источники данных Выберите источник данных, который вы хотите использовать. Если вы используете несколько источников данных, выбранный источник применяется к отдельному порту, чтобы сборщик журналов продолжал отправлять данные последовательно.

    Например, в следующем списке показаны примеры сочетаний источников данных и портов:
    - Пало Альто: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Нажмите кнопку "Создать" , чтобы отобразить дополнительные инструкции на экране для конкретной ситуации.

  6. Перейдите к конфигурации кластера AKS и выполните следующую команду:

    kubectl config use-context <name of AKS cluster>

  7. Выполните команду Helm с помощью следующего синтаксиса:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 0.1.0 --set inputString="<generated id> ",env.PUBLICIP="<public id>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Найдите значения для команды helm с помощью команды Docker, используемой при настройке сборщика. Например:

    (echo <Generated ID>) | docker run --name SyslogTLStest

В случае успешного выполнения журналы показывают извлечение изображения из mcr.microsoft.com и продолжение создания больших двоичных объектов для контейнера.

Связанный контент

Дополнительные сведения см. в статье Настройка автоматической отправки журналов для непрерывных отчетов.