Dela via

Konfigurera automatisk logguppladdning med lokal Docker i Windows

  • Artikel

Du kan konfigurera automatisk logguppladdning för kontinuerliga rapporter i Defender för Molnappar med hjälp av en Docker i Windows.

Förutsättningar

  • Arkitekturspecifikationer:

    Specifikation beskrivning
    Operativsystem Något av följande:
  • Windows 10 (Uppdatering av fallskapare)
  • Windows Server version 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Diskutrymme 250 GB
    CPU-kärnor 2
    CPU-arkitektur Intel 64 och AMD 64
    BAGGE 4 GB

    En lista över Docker-arkitekturer som stöds finns i Installationsdokumentation för Docker.

  • Ange brandväggen efter behov. Mer information finns i Nätverkskrav.

  • Virtualisering i operativsystemet måste vara aktiverad med Hyper-V.

Viktigt!

  • Företagskunder med mer än 250 användare eller mer än 10 miljoner USD i årliga intäkter kräver en betald prenumeration för att använda Docker Desktop för Windows. Mer information finns i Översikt över Docker-prenumeration.
  • En användare måste vara inloggad för att Docker ska kunna samla in loggar. Vi rekommenderar att du uppmanar Docker-användare att koppla från utan att logga ut.
  • Docker för Windows stöds inte officiellt i VMWare-virtualiseringsscenarier.
  • Docker för Windows stöds inte officiellt i kapslade virtualiseringsscenarier. Om du fortfarande planerar att använda kapslad virtualisering läser du Docker officiella guide.
  • Information om ytterligare konfigurations- och implementeringsöverväganden för Docker för Windows finns i Installera Docker Desktop i Windows.

Ta bort en befintlig logginsamlare

Om du har en befintlig logginsamlare och vill ta bort den innan du distribuerar den igen, eller om du bara vill ta bort den, kör du följande kommandon:

docker stop <collector_name>
docker rm <collector_name>

Logginsamlarens prestanda

Logginsamlaren kan hantera loggkapacitet på upp till 50 GB per timme. De största flaskhalsarna i logginsamlingsprocessen är:

  • Nätverksbandbredd – Nätverksbandbredden avgör logguppladdningshastigheten.

  • I/O-prestanda för den virtuella datorn – Avgör hastigheten med vilken loggar skrivs till logginsamlarens disk. Logginsamlaren har en inbyggd säkerhetsmekanism som övervakar i vilken takt loggarna tas emot och som jämför den med uppladdningstakten. Om det uppstår överbelastning börjar logginsamlaren släppa loggfiler. Om konfigurationen vanligtvis överskrider 50 GB per timme rekommenderar vi att du delar upp trafiken mellan flera logginsamlare.

Steg 1 – Konfiguration av webbportalen

Använd följande steg för att definiera dina datakällor och länka dem till en logginsamlare. En enda logginsamlare kan hantera flera datakällor.

  1. I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Cloud Discovery>Automatisk logguppladdning>Fliken Datakällor.

  2. Skapa en matchande datakälla för varje brandvägg eller proxyserver som du vill ladda upp loggar från:

    1. Välj +Lägg till datakälla.

      Skärmbild av knappen Lägg till datakälla.

    2. Ge proxyservern eller brandväggen ett namn.

      Skärmbild av dialogrutan Lägg till datakälla

    3. Välj enheten från listan Källa. Om du väljer Anpassat loggformat för att fungera med en nätverksinstallation som inte finns med i listan, se Arbeta med den anpassade loggparsern för konfigurationsinstruktioner.

    4. Jämför din logg med exemplet på det förväntade loggformatet. Om loggfilsformatet inte matchar det här exemplet bör du lägga till datakällan som Övrigt.

    5. Ange mottagartypen till ANTINGEN FTP, FTPS, Syslog – UDP eller Syslog – TCP eller Syslog – TLS.

      Kommentar

      Integrering med protokoll för säker överföring (FTPS och Syslog – TLS) kräver ofta ytterligare inställningar för brandväggen/proxyn.

    6. Upprepa den här proceduren för alla brandväggar och proxyservrar vars loggar kan användas för att identifiera trafik i ditt nätverk. Vi rekommenderar att du konfigurerar en dedikerad datakälla per nätverksenhet så att du kan:

      • Övervaka statusen för varje enhet separat i undersökningssyfte.
      • Utforska Shadow IT Discovery per enhet, om varje enhet används av ett annat användarsegment.

  3. Längst upp på sidan väljer du fliken Logginsamlare och väljer sedan Lägg till logginsamlare.

  4. I dialogrutan Skapa logginsamlare:

    1. I fältet Namn anger du ett beskrivande namn för logginsamlaren.

    2. Ge logginsamlaren ett namn och ange värd-IP-adressen (privat IP-adress) för den dator som du ska använda för att distribuera Docker. Värd-IP-adressen kan ersättas med datornamnet om det finns en DNS-server (eller motsvarande) som löser värdnamnet.

    3. Välj alla datakällor som du vill ansluta till insamlaren och välj Uppdatera för att spara konfigurationen.

      Ytterligare distributionsinformation visas i avsnittet Nästa steg , inklusive ett kommando som du ska använda senare för att importera insamlarkonfigurationen. Om du har valt Syslog innehåller den här informationen även data om vilken port Syslog-lyssnaren lyssnar på.

    4. kopiera till Urklippsikon. Använd knappen Kopiera för att kopiera kommandot till Urklipp och spara det på en separat plats.

    5. Export Använd knappen Exportera för att exportera den förväntade datakällans konfiguration. Den här konfigurationen beskriver hur du ska ange loggexporten i dina enheter.

För användare som skickar loggdata via FTP för första gången rekommenderar vi att du ändrar lösenordet för FTP-användaren. Mer information finns i Ändra FTP-lösenordet.

Steg 2 – Lokal distribution av datorn

Följande steg beskriver distributionen i Windows. Distributionsstegen för andra plattformar skiljer sig något åt.

  1. Öppna en PowerShell-terminal som administratör på din Windows-dator.

  2. Kör följande kommando för att ladda ned PowerShell-skriptfilen för Windows Docker-installationsprogrammet:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Information om hur du verifierar att installationsprogrammet är signerat av Microsoft finns i Verifiera installationssignatur.

  3. Om du vill aktivera PowerShell-skriptkörning kör du:

    Set-ExecutionPolicy RemoteSigned`

  4. Om du vill installera Docker-klienten på datorn kör du:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Datorn startas om automatiskt när du har kört kommandot.

  5. När datorn är igång igen kör du samma kommando igen:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Kör Installationsprogrammet för Docker och välj att använda WSL 2 i stället för Hyper-V.

    När installationen är klar startas datorn om automatiskt igen.

  7. När omstarten är klar öppnar du Docker-klienten och godkänner Docker-prenumerationsavtalet.

  8. Om WSL2-installationen inte har slutförts visas ett meddelande som anger att WSL 2 Linux-kerneln är installerad med ett separat MSI-uppdateringspaket.

  9. Slutför installationen genom att ladda ned paketet. Mer information finns i Ladda ned Linux-kerneluppdateringspaketet.

  10. Öppna Docker Desktop-klienten igen och kontrollera att den har startats.

  11. Öppna en kommandotolk som administratör och ange körningskommandot som du kopierade tidigare från portalen i Steg 1 – Konfiguration av webbportalen.

    Om du behöver konfigurera en proxy lägger du till proxy-IP-adressen och portnumret. Om din proxyinformation till exempel är 172.31.255.255:8080 är det uppdaterade körningskommandot:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Kontrollera att insamlaren körs korrekt genom att köra:

    docker logs <collector_name>

    Du bör se meddelandet: Har slutförts! Till exempel:

    Skärmbild av ett kommando som insamlaren kör korrekt.

Steg 3 – Lokal konfiguration av dina nätverksinstallationer

Konfigurera nätverksbrandväggar och proxyservrar för att regelbundet exportera loggar till den dedikerade Syslog-porten för FTP-katalogen enligt anvisningarna i dialogrutan. Till exempel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Steg 4 – Kontrollera att distributionen i portalen har slutförts

Kontrollera insamlarens status i logginsamlartabellen och kontrollera att statusen är Ansluten. Om den har skapats är det möjligt att logginsamlarens anslutning och parsning inte har slutförts.

Kontrollera att insamlarens status är Ansluten.

Du kan också gå till styrningsloggen och kontrollera att loggarna laddas upp regelbundet till portalen.

Du kan också kontrollera logginsamlarens status inifrån Docker-containern med hjälp av följande kommandon:

  1. Logga in på containern:

    docker exec -it <Container Name> bash

  2. Kontrollera logginsamlarens status:

    collector_status -p

Om du har problem under distributionen kan du läsa Felsöka molnidentifiering.

Valfritt – Skapa anpassade kontinuerliga rapporter

Kontrollera att loggarna laddas upp till Defender för Cloud Apps och att rapporter genereras. Skapa anpassade rapporter efter verifieringen. Du kan skapa anpassade identifieringsrapporter baserat på Microsoft Entra-användargrupper. Om du till exempel vill se molnanvändningen för din marknadsföringsavdelning importerar du marknadsföringsgruppen med hjälp av funktionen importera användargrupp. Skapa sedan en anpassad rapport för den här gruppen. Du kan också anpassa en rapport baserat på IP-adresstagg eller IP-adressintervall.

  1. I Microsoft Defender-portalen väljer du Inställningar Cloud>Apps>Cloud Discovery>Kontinuerliga rapporter.

  2. Välj knappen Skapa rapport och fyll i fälten.

  3. Under Filter kan du filtrera data efter datakälla, efter importerad användargrupp eller efter IP-adresstaggar och intervall.

    Kommentar

    När du tillämpar filter på kontinuerliga rapporter inkluderas markeringen, inte exkluderas. Om du till exempel använder ett filter på en viss användargrupp inkluderas endast den användargruppen i rapporten.

    Anpassad kontinuerlig rapport.

Valfritt – Verifiera installationssignatur

Så här kontrollerar du att installationsprogrammet för Docker är signerat av Microsoft:

  1. Högerklicka på filen och välj Egenskaper.

  2. Välj Digitala signaturer och se till att det står Den här digitala signaturen är OK.

  3. Kontrollera att Microsoft Corporation är listat som den enda posten under Namn på undertecknaren.

    Digital signatur är giltig.

    Om den digitala signaturen inte är giltig står det att den här digitala signaturen inte är giltig:

    Digital signatur är inte giltig.

Nästa steg

Ändra FTP-konfigurationen för logginsamlaren

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.