Aracılığıyla paylaş

Gelişmiş günlük toplayıcı yönetimi

  • Makale

Bu makalede, Bulut için Defender Apps bulut bulma günlüğü toplayıcıları için gelişmiş seçeneklerin nasıl yapılandırıldığı açıklanır.

Bulut için Defender Apps bulut bulma temel güvenlik duvarı biçimlerine odaklanmaya devam eder. Güvenlik duvarı düzeyinde iletilen günlüklerde yapılan değişiklikler çalışmaya devam etmeyebilir veya ayrıştırma sorunlarına neden olabilir. Bu tür hatalar bulursanız, temel güvenlik duvarı biçimini kullanmaya devam etmenizi veya özel günlük toplayıcı ile seçenekleri kullanmanızı öneririz. Daha fazla bilgi için bkz . Özel günlük ayrıştırıcısı kullanma.

Bu makalede, Bulut için Defender Apps bulut bulma Docker'ınızın yapılandırmasını nasıl değiştireceğiniz açıklanmaktadır.

Günlük toplayıcı FTP yapılandırmasını değiştirme

Bulut için Defender Apps bulut bulma Docker'ınızın yapılandırmasını değiştirmek için aşağıdaki bölümlerde yer alan bu adımları kullanın.

Günlük toplayıcı sürümünü doğrulama

Sisteminizde yüklü olan günlük toplayıcısının sürümünü doğrulamak için günlük toplayıcı konağına bağlanın ve şunu çalıştırın:

cat /var/adallom/versions | grep columbus-

FTP parolasını değiştirme

Bu yordamda, günlük toplayıcı dosyalarına erişmek için kullanılan parolanın nasıl değiştirileceği açıklanır:

  1. Günlük toplayıcı konağına bağlanın ve şunu çalıştırın:

    docker exec -it <collector name> pure-pw passwd <ftp user>

  2. Yeni parolanızı girin ve onaylamak için yeniden girin.

  3. Değişikliği uygulamak için aşağıdaki komutu çalıştırın:

    docker exec -it <collector name> pure-pw mkdb

Aşağıdaki içerikleri görüntüleyebilmeniz gerekir:

  • run_logs
  • ssl_update
  • config.json

Sertifika dosyalarını özelleştirme

Bu yordamda, bulut bulma Docker örneğine güvenli bağlantılar için kullanılan sertifika dosyalarının nasıl özelleştirileceği açıklanır.

  1. Bir FTP istemcisi açın ve günlük toplayıcı konağına bağlanın.

  2. Dizine ssl_update gidin ve aşağıdaki dosyalar da dahil olmak üzere yeni sertifika dosyalarını karşıya yükleyin:

    Alıcı türü Gerekli dosyalar
    FTP - pure-ftpd.pem: Anahtar ve sertifika verilerini içerir
    Syslog - ca.pem: İstemcinin sertifikasını imzalamak için kullanılan sertifika yetkilisinin sertifikası.
    - server-key.pem ve server-cert.pem: Günlük toplayıcısının sertifikası ve anahtarı

    Syslog iletileri, hem istemci hem de sunucu sertifikalarının kimliğini doğrulamak da dahil olmak üzere karşılıklı TLS kimlik doğrulaması gerektiren günlük toplayıcısına TLS üzerinden gönderilir.

    Dosya adları zorunlu. Dosyalardan herhangi biri eksikse güncelleştirme başarısız olur.

  3. Terminal penceresinde şunu çalıştırın:

    docker exec -t <collector name> update_certs

    Çıktı aşağıdaki koda benzer şekilde görünmelidir:

    root@DockerPlayground:~# docker exec -t columbus update_certs
rsyslog: stopped
rsyslog: started
ftpd: stopped
ftpd: started
root@DockerPlayground:~#

  4. Terminal penceresinde şunu çalıştırın:

    docker exec <collector name> chmod -R 700 /etc/ssl/private/

Bir ara sunucunun arkasında günlük toplayıcıyı etkinleştirme

Ara sunucunun arkasında çalışıyorsanız, günlük toplayıcısı Bulut için Defender Uygulamalarına veri gönderirken sorun yaşayabilir. Örneğin, bunun nedeni günlük toplayıcının ara sunucunun kök sertifika yetkilisine güvenmemesi ve yapılandırmasını almak veya alınan günlükleri karşıya yüklemek için Bulut için Microsoft Defender Uygulamalarına bağlanamaması olabilir.

Aşağıdaki yordamlarda, bir ara sunucunun arkasında günlük toplayıcınızın nasıl etkinleştirileceği açıklanmaktadır.

İpucu

Ayrıca Syslog veya FTP için günlük toplayıcısı tarafından kullanılan sertifikaları değiştirmek veya güvenlik duvarlarından ve ara sunuculardan günlük toplayıcıya bağlantı sorunlarını çözmek isteyebilirsiniz. Daha fazla bilgi için bkz . Günlük toplayıcı FTP yapılandırmasını değiştirme.

Günlük toplayıcıyı ara sunucunun arkasında ayarlama

Docker'ı bir Windows veya Linux makinesinde çalıştırmak için gerekli adımları gerçekleştirdiğinizden ve Bulut için Defender Apps Docker görüntüsünü konak makinenize başarıyla indirdiğinizden emin olun.

Daha fazla bilgi için bkz . Sürekli raporlar için otomatik günlük yüklemeyi yapılandırma.

Docker günlük toplayıcı kapsayıcısı oluşturmayı doğrulama

Kapsayıcının oluşturulduğunu ve çalıştığını doğrulayın. Kabukta şunu çalıştırın:

docker ps

Aşağıdaki çıktıya benzer bir sonuç görmeniz gerekir:

Çalışan Docker kapsayıcısının ekran görüntüsü.

Ara sunucu kök CA sertifikasını kapsayıcıya kopyalama

Sanal makinenizden CA sertifikasını Bulut için Defender Apps kapsayıcısına kopyalayın. Aşağıdaki örnekte kapsayıcıya Ubuntu-LogCollector, CA sertifikası ise Proxy-CA.crt olarak adlandırılmıştır.

Aşağıdaki komut sertifikayı çalışan kapsayıcıdaki bir klasöre kopyalar. Ubuntu kona bilgisayarında komutunu çalıştırın:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Yapılandırmayı CA sertifikasıyla çalışacak şekilde ayarlama

  1. Kapsayıcıya gidin. Günlük toplayıcı kapsayıcısında bash'i açmak için aşağıdaki komutu çalıştırın:

    docker exec -it Ubuntu-LogCollector /bin/bash

  2. Kapsayıcının içindeki bash penceresinden Java jre klasörüne gidin. Sürümle ilgili yol hatasını önlemek için aşağıdaki komutu kullanın:

    cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
cd bin

  3. Daha önce kopyaladığınız kök sertifikayı bulma klasöründen Java KeyStore'na aktarın ve bir parola tanımlayın.

    Varsayılan paroladır changeit. Daha fazla bilgi için bkz . Java KeyStore parolasını değiştirme.

    ./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>

  4. Sertifikanın CA anahtar deposuna doğru içeri aktarıldığını doğrulayın. İçeri aktarma sırasında sağladığınız diğer adı aramak için aşağıdaki komutu çalıştırın (SelfSignedCert):

    ./keytool --list --keystore ../lib/security/cacerts | grep self

İçeri aktarılan proxy CA sertifikanız görüntülenir.

Linux'ta günlük toplayıcısına syslog iletileri gönderen IP adreslerini kısıtlama

Docker görüntüsünün güvenliğini sağlamak ve syslog iletilerini günlük toplayıcısına göndermesine yalnızca bir IP adresinin izin verildiğinden emin olmak için, giriş trafiğine izin vermek için konak makinede bir IP tablosu kuralı oluşturun ve dağıtıma bağlı olarak TCP/601 veya UDP/514 gibi belirli bağlantı noktaları üzerinden gelen trafiği bırakın.

Aşağıdaki komut, konak makineye eklenebilen bir IP tablosu kuralı oluşturma işleminin bir örneğini gösterir. Bu tablo kuralı, '1.2.3.4' IP adresinin TCP bağlantı noktası 601 üzerinden günlük toplayıcı kapsayıcısına bağlanmasına ve diğer IP adreslerinden gelen diğer tüm bağlantıları aynı bağlantı noktası üzerinden bırakmasına olanak tanır.

iptables -I DOCKER-USER \! --src 1.2.3.4 -m tcp -p tcp --dport 601 -j DROP

Günlük toplayıcısını yeni yapılandırmayla çalışacak şekilde ayarlama

Kapsayıcı artık hazır.

Günlük toplayıcınızın oluşturulması sırasında kullandığınız API belirtecini kullanarak collector_config komutunu çalıştırın. Örneğin:

Günlük toplayıcı oluştur iletişim kutusunun ekran görüntüsü.

komutunu çalıştırdığınızda, kendi API belirtecinizi belirtin, örneğin collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

Örneğin:

Yapılandırma güncelleştirme örneğinin ekran görüntüsü.

Günlük toplayıcı artık Bulut için Defender Uygulamaları ile iletişim kurabilir. Bulut için Defender Uygulamalarına veri gönderdikten sonra günlük toplayıcısının durumu Sağlıklı olan Bağlı olarak değişir. Örneğin:

Karşıya yükleme durumunun ekran görüntüsü.

Not

Örneğin bir veri kaynağı eklemek veya kaldırmak için günlük toplayıcısının yapılandırmasını güncelleştirmeniz gerekiyorsa, normalde kapsayıcıyı silmeniz ve önceki adımları yeniden gerçekleştirmeniz gerekir.

Bunu önlemek için Bulut için Defender Apps portalında oluşturulan yeni API belirteciyle collector_config aracını yeniden çalıştırabilirsiniz.

Java KeyStore parolasını değiştirme

  1. Java KeyStore sunucusunu durdurun.

  2. Kapsayıcının içinde bir bash kabuğu açın ve appdata/conf klasörüne gidin.

  3. KeyStore sunucusunun parolasını değiştirmek için şunu çalıştırın:

    keytool -storepasswd -new newStorePassword -keystore server.keystore
-storepass changeit

    Varsayılan sunucu parolası şeklindedir changeit.

  4. Sertifika parolasını değiştirmek için şunu çalıştırın:

    keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword

    Varsayılan sunucu diğer adı sunucudur.

  5. Bir metin düzenleyicisinde server-install\conf\server\secured-installed.properties dosyasını açın. Aşağıdaki kod satırlarını ekleyin ve değişiklikleri kaydedin:

    1. Sunucu için yeni Java KeyStore parolasını belirtin: server.keystore.password=newStorePassword
    2. Sunucu için yeni Sertifika parolasını belirtin: server.key.password=newKeyPassword

  6. Sunucuyu başlatın.

Günlük toplayıcıyı Linux'ta farklı bir veri bölümüne taşıma

Birçok şirketin verileri ayrı bir bölüme taşıma gereksinimi vardır. Bu yordamda, Bulut için Defender Apps Docker günlük toplayıcı görüntülerinizi Linux konağınızdaki bir veri bölümüne nasıl taşıyabilirsiniz açıklanmaktadır.

Bu yordam, verileri datastore adlı bir bölüme taşımayı açıklar ve bölümü zaten bağlamış olduğunuzu varsayar. Örneğin:

Linux bölümlerinin listesi.

Linux konağınıza yeni bölüm ekleme ve yapılandırma bu kılavuzun kapsamında değildir.

Günlük toplayıcınızı farklı bir bölüme taşımak için:

  1. Docker hizmetini durdurun. Çalıştır:

    service docker stop

  2. Günlük toplayıcı verilerini yeni bölüme taşıyın. Çalıştır:

    mv /var/lib/docker /datastore/docker

  3. Eski Docker depolama dizinini (/var/lib/docker) kaldırın ve yeni dizine (/datastore/docker) sembolik bir bağlantı oluşturun. Çalıştır:

    rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/

  4. Docker hizmetini başlatın. Çalıştır:

    service docker start

  5. İsteğe bağlı olarak, günlük toplayıcınızın durumunu doğrulayın. Çalıştır:

    docker ps

Linux'ta günlük toplayıcı disk kullanımını inceleme

Bu yordam, günlük toplayıcı disk kullanımınızı ve konumunuzu nasıl gözden geçireceğinizi açıklar.

  1. Günlük toplayıcı verilerinin depolandığı dizinin yolunu belirleyin. Çalıştır:

    docker inspect <collector_name> | grep WorkDir

    Örneğin:

    Günlük toplayıcı dizinini tanımlama işleminin ekran görüntüsü.

  2. "/work" soneki olmadan tanımlanan yolu kullanarak günlük toplayıcısının diskinde boyutu alın. Çalıştır:

    du -sh /var/lib/docker/overlay2/<log_collector_id>/

    Disk üzerindeki günlük toplayıcı boyutunu tanımlama işleminin ekran görüntüsü.

    Not

    Yalnızca diskin boyutunu bilmeniz gerekiyorsa, bunun yerine aşağıdaki komutu kullanabilirsiniz: docker ps -s

Günlük toplayıcıyı erişilebilir bir konağa taşıma

Düzenlenen ortamlarda, günlük toplayıcı görüntüsünün barındırıldığı Docker Hubs erişimi engellenebilir. Bu, Bulut için Defender Uygulamalarının verileri günlük toplayıcısından içeri aktarmasını önler ve günlük toplayıcı görüntüsünü erişilebilir bir konağa taşımam çözümlenebilir.

Bu yordamda, Docker Hub'a erişimi olan bir bilgisayar kullanarak günlük toplayıcı görüntüsünün nasıl indirileceği ve hedef konağınıza nasıl aktarıldığı açıklanır.

İndirilen görüntü özel deponuza veya doğrudan ana bilgisayarınıza aktarılabilir. Bu yordam, günlük toplayıcı görüntünüzü Windows bilgisayarınıza indirmeyi ve ardından WinSCP kullanarak günlük toplayıcıyı hedef konağınıza taşımayı açıklar.

Önkoşullar

  1. Ana bilgisayarınızda Docker'ın yüklü olduğundan emin olun. Örneğin, aşağıdaki indirmelerden birini kullanın:

  2. İndirme işleminden sonra, işletim sisteminizi yüklemek için Docker'ın çevrimdışı yükleme kılavuzunu kullanın.

    Günlük toplayıcı görüntüsünü dışarı aktararak işlemi başlatın ve ardından görüntüyü hedef konağınıza aktarın.

Günlük toplayıcı görüntüsünü Docker Hub'ınızdan dışarı aktarma

Aşağıdaki yordamlarda Linux veya Windows kullanarak günlük toplayıcı görüntüsünün nasıl dışarı aktarıldığı açıklanmaktadır.

Görüntüyü Linux'ta dışarı aktarma

  1. Docker Hub'a erişimi olan bir Linux bilgisayarda, Docker'ı yüklemek ve günlük toplayıcı görüntüsünü indirmek için aşağıdaki komutu çalıştırın.

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh

  2. Günlük toplayıcı görüntüsünü dışarı aktarın. Çalıştır:

    docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
chmod +r /tmp/mcasLC.tar

    Önemli

    STDOUT yerine bir dosyaya yazmak için çıkış parametresini kullandığınızdan emin olun.

  3. WinSCP kullanarak altındaki C:\mcasLogCollector\ günlük toplayıcı görüntüsünü Windows bilgisayarınıza indirin. Örneğin:

    Günlük toplayıcıyı bir Windows bilgisayarına indirme işleminin ekran görüntüsü.

Windows'da görüntüyü dışarı aktarma

  1. Docker Hub'a erişimi olan bir Windows 10 bilgisayarında Docker Desktop'ı yükleyin.

  2. Günlük toplayıcı görüntüsünü indirin. Çalıştır:

    docker login -u caslogcollector -p C0llector3nthusiast
docker pull mcr.microsoft.com/mcas/logcollector

  3. Günlük toplayıcı görüntüsünü dışarı aktarın. Çalıştır:

    docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector

    Önemli

    STDOUT yerine bir dosyaya yazmak için çıkış parametresini kullandığınızdan emin olun.

Günlük toplayıcı görüntüsünü içeri aktarma ve hedef konağınıza yükleme

Bu yordamda, dışarı aktarılan görüntünün hedef konağınıza nasıl aktarıldığı açıklanır.

  1. Günlük toplayıcı görüntüsünü altında /tmp/hedef konağınıza yükleyin. Örneğin:

    Günlük toplayıcıyı hedef konağa yükleme işleminin ekran görüntüsü.

  2. Hedef konakta günlük toplayıcı görüntüsünü Docker görüntüleri deposuna aktarın. Çalıştır:

    docker load --input /tmp/mcasLC.tar

    Örneğin:

    Günlük toplayıcı görüntüsünü Docker deposuna aktarma işleminin ekran görüntüsü.

  3. İsteğe bağlı olarak, içeri aktarma işleminin başarıyla tamamlandığını doğrulayın. Çalıştır:

    docker image ls

    Örneğin:

    Günlük toplayıcısının içeri aktarma işleminin başarılı olduğunu doğrulama işleminin ekran görüntüsü.

    Artık hedef konaktan görüntüyü kullanarak günlük toplayıcınızı oluşturmaya devam edebilirsiniz.

Linux'ta günlük toplayıcıları için Syslog ve FTP alıcıları için özel bağlantı noktaları tanımlama

Bazı kuruluşların Syslog ve FTP hizmetleri için özel bağlantı noktaları tanımlaması gerekir.

Veri kaynağı eklediğinizde, Bulut için Defender Uygulamalar günlük toplayıcıları bir veya daha fazla veri kaynağından gelen trafik günlüklerini dinlemek için belirli bağlantı noktası numaralarını kullanır.

Aşağıdaki tabloda alıcılar için varsayılan dinleme bağlantı noktalarının listesi yer alır:

Alıcı türü Bağlantı Noktaları
Syslog * UDP/514 - UDP/51x
* TCP/601 - TCP/60x
FTP * TCP/21

Özel bağlantı noktalarını tanımlamak için aşağıdaki adımları kullanın:

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Cloud Discovery'nin altında Otomatik günlük yükleme'yi seçin. Ardından Günlük toplayıcıları sekmesini seçin.

  3. Günlük toplayıcıları sekmesinde günlük toplayıcısı ekleyin veya düzenleyin ve veri kaynaklarını güncelleştirdikten sonra iletişim kutusundan çalıştır komutunu kopyalayın. Örneğin:

    Günlük toplayıcı sihirbazından çalıştırma komutunu kopyalayın.

    Sağlanan şekilde kullanılırsa, sihirbaz tarafından sağlanan komut günlük toplayıcısını 514/udp ve 515/udp bağlantı noktalarını kullanacak şekilde yapılandırıyor. Örneğin:

    (echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Örneğin:

    Günlük toplayıcı sihirbazından çalıştır komutunun ekran görüntüsü.

  4. Konak makinenizde komutunu kullanmadan önce komutunu özel bağlantı noktalarınızı kullanacak şekilde değiştirin. Örneğin, günlük toplayıcısını 414 ve 415 NUMARALı UDP bağlantı noktalarını kullanacak şekilde yapılandırmak için komutu aşağıdaki gibi değiştirin:

    (echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Örneğin:

    Özelleştirilmiş çalıştırma komutunun ekran görüntüsü.

    Not

    Yalnızca Docker eşlemesi değiştirilir. Dahili olarak atanan bağlantı noktaları değiştirilmez ve konakta herhangi bir dinleme bağlantı noktası seçmenize olanak tanır.

Linux'ta günlük toplayıcısı tarafından alınan trafiği ve günlük biçimini doğrulama

Bazen aşağıdaki gibi sorunları araştırmanız gerekebilir:

  • Günlük toplayıcıları veri alıyor: Günlük toplayıcılarının gereçlerinizden Syslog iletileri aldığını ve güvenlik duvarları tarafından engellenmediğini doğrulayın.
  • Alınan veriler doğru günlük biçiminde: Bulut için Defender Uygulamalar tarafından beklenen günlük biçimini ve aletiniz tarafından gönderilen günlük biçimini karşılaştırarak ayrıştırma hatalarını gidermenize yardımcı olması için günlük biçimini doğrulayın.

Trafiğin günlük toplayıcıları tarafından alındığını doğrulamak için aşağıdaki adımları kullanın:

  1. Docker kapsayıcısını barındıran sunucunuzda oturum açın.

  2. Aşağıdaki yöntemlerden herhangi birini kullanarak günlük toplayıcısının Syslog iletileri aldığını doğrulayın:

    • 514 numaralı bağlantı noktasında ağ trafiğini analiz etmek için tcpdump veya benzer bir komut kullanın:

      tcpdump -Als0 port 514

      Her şey doğru yapılandırıldıysa, gereçlerinizden gelen ağ trafiğini görmeniz gerekir. Örneğin:

      Tcpdump aracılığıyla ağ trafiğini analiz etme işleminin ekran görüntüsü.

    • Konak makinede ağ trafiğini analiz etmek için netcat veya benzer bir komut kullanın:

      1. netcat ve wget'i yükleyin.

      2. Microsoft Defender XDR'den örnek bir günlük dosyası indirin. Gerekirse günlük dosyasını açın.

        1. Microsoft Defender XDR'de Cloud Apps'in altında Cloud Discovery>Actions>Create Cloud Discovery snapshot report öğesini seçin.

        2. Günlük dosyalarını karşıya yüklemek istediğiniz Veri kaynağı’nı seçin.

        3. Görünüm'ü seçin ve doğrulayın, ardından Örnek günlüğü indir'e sağ tıklayın ve URL adresi bağlantısını kopyalayın.

        4. İptal'i kapat'ı> seçin.

      3. Çalıştır:

        wget <URL_address_to_sample_log>

      4. Günlük toplayıcısına veri akışı yapmak için komutunu çalıştırın netcat .

        cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>

      Toplayıcı doğru yapılandırıldıysa, günlük verileri ileti dosyasında bulunur ve bundan kısa bir süre sonra Bulut için Defender Apps portalına yüklenir.

    • Bulut için Defender Apps Docker kapsayıcısı içindeki ilgili dosyaları inceleyin:

      1. Kapsayıcıda oturum açın. Çalıştır:

        docker exec -it <Container Name> bash

      2. Syslog iletilerinin ileti dosyasına yazıp yazılmadığını belirleyin. Çalıştır:

        cat /var/adallom/syslog/<your_log_collector_port>/messages

      Her şey doğru yapılandırıldıysa, gereçlerinizden gelen ağ trafiğini görmeniz gerekir. Örneğin:

      cat komutunu kullanarak trafiği analiz etme işleminin ekran görüntüsü.

      Not

      Bu dosyanın boyutu 40 KB'a ulaşana kadar dosyaya yazılmaya devam edecektir. Örneğin:

  3. Dizindeki Bulut için Defender Uygulamalarına /var/adallom/discoverylogsbackup yüklenen günlükleri gözden geçirin. Örneğin:

    Karşıya yüklenen günlük dosyalarını gözden geçirin.

  4. içinde depolanan /var/adallom/discoverylogsbackup iletileri Bulut için Defender Uygulamaları Günlük toplayıcı oluşturma sihirbazında sağlanan örnek günlük biçimiyle karşılaştırarak günlük toplayıcısı tarafından alınan günlük biçimini doğrulayın.

İleti dosyasının çıkışını yerel bir dosyaya yazma

Kendi örnek günlüğünüzü kullanmak istiyorsanız ancak alete erişiminiz yoksa, günlük toplayıcısının syslog dizininde bulunan ileti dosyasının çıkışını konaktaki yerel bir dosyaya yazmak için aşağıdaki komutları kullanın:

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Çıkış dosyasını (/tmp/log.log) dizininde depolanan iletilerle karşılaştırın /var/adallom/discoverylogsbackup .

Günlük toplayıcı sürümünü güncelleştirme

Günlük toplayıcınızı güncelleştirirken:

Sonraki adımlar

Bulut bulmayı dağıtma

Kullanıcı etkinliği ilkeleri

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.