Sürekli raporlar için günlüklerin otomatik olarak karşıya yüklenmesini yapılandırma
Günlük toplayıcıları, ağınızdan günlük karşıya yükleme işlemini kolayca otomatik hale getirmenizi sağlar. Günlük toplayıcı ağınızda çalışır ve günlükleri Syslog veya FTP üzerinden alır. Her günlük otomatik olarak işlenir, sıkıştırılır ve portala iletilir. FTP günlükleri, dosya Günlük Toplayıcısı'na FTP aktarımını tamamladıktan sonra Bulut için Microsoft Defender Uygulamalarına yüklenir. Syslog için Günlük Toplayıcı alınan günlükleri diske yazar. Ardından toplayıcı, dosya boyutu 40 KB'tan büyük olduğunda dosyayı Bulut için Defender Uygulamalarına yükler.
Bir günlük Bulut için Defender Uygulamalarına yüklendikten sonra bir yedekleme dizinine taşınır. Yedekleme dizini son 20 günlüğü depolar. Yeni günlükler geldiğinde eski günlükler silinir. Günlük toplayıcı disk alanı her dolsa, günlük toplayıcısı daha fazla boş disk alanı olana kadar yeni günlükleri bırakır (önkoşullar düzgün karşılanırsa bu gerçekleşmemelidir). Bu durumda Günlükleri otomatik olarak yükle ayarlarının Günlük toplayıcıları sekmesinde bir uyarı alırsınız.
Otomatik günlük dosyası koleksiyonunu ayarlamadan önce, günlükünüzün beklenen günlük türüyle eşleşip eşleşmedığını doğrulayın. Bulut için Defender Uygulamaların dosyanızı ayrıştıradığından emin olmak istiyorsunuz. Daha fazla bilgi için bkz . Cloud Discovery için trafik günlüklerini kullanma.
Not
- Bulut için Defender Uygulamaları, günlüklerin özgün biçimlerinde iletildiğini varsayarak günlükleri SIEM sunucunuzdan Günlük Toplayıcısı'na iletme desteği sağlar. Ancak, günlük toplayıcıyı doğrudan güvenlik duvarınız ve/veya ara sunucunuzla tümleştirmeniz kesinlikle önerilir.
- Günlük toplayıcı, karşıya yüklenmeden önce verileri sıkıştırır. Günlük toplayıcıdaki giden trafik, aldığı trafik günlüklerinin boyutunun %10'unu oluşturur.
- Günlük toplayıcısı sorunlarla karşılaşırsa, veriler 48 saat boyunca alınmadıktan sonra bir uyarı alırsınız.
Önkoşullar
- Disk alanı 250 GB
- CPU çekirdekleri: 2
- CPU Mimarisi: Intel® 64 ve AMD 64
- RAM: 4 GB
- Güvenlik duvarınızı Ağ gereksinimleri bölümünde açıklandığı gibi ayarlayın
Not
Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:
docker stop <collector_name>
docker rm <collector_name>
Not
Yeni bir günlük toplayıcı sürümü yüklemek için günlük toplayıcınızı durdurmanız, geçerli görüntüyü kaldırmanız ve yenisini yüklemeniz gerekir.
Günlük toplayıcı performansı
Günlük toplayıcı saatte 50 GB’ye kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işleminde başlıca darboğazlar şunlardır:
- Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.
- Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcının, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizması vardır. Tıkanıklık durumlarında, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşıyorsa trafiği birden çok günlük toplayıcısı arasında bölmeniz önerilir.
İlgili içerik
Günlük Toplayıcı kapsayıcı dağıtım modunu destekler. Daha fazla bilgi için bkz.
- Windows'da şirket içi Docker kullanarak otomatik günlük yüklemeyi yapılandırma
- Podman kullanarak otomatik günlük yüklemeyi yapılandırma
- Azure'da Docker kullanarak otomatik günlük yüklemeyi yapılandırma