Share via

Windows'da şirket içi Docker kullanarak otomatik günlük yüklemeyi yapılandırma

  • Makale

Windows üzerinde docker kullanarak Bulut için Defender Uygulamalarında sürekli raporlar için otomatik günlük yüklemeyi yapılandırabilirsiniz.

Önkoşullar

  • Mimari belirtimleri:

    • İşletim sistemi: Aşağıdakilerden biri:

      • Windows 10 (Fall creators update)

      • Windows Sever sürüm 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Disk alanı: 250 GB

    • CPU çekirdekleri: 2

    • CPU mimarisi:Intel 64 ve AMD 64

    • RAM: 4 GB

    Desteklenen Docker mimarilerinin listesi için Docker yükleme belgelerine bakın.

  • Güvenlik duvarınızı Ağ gereksinimleri bölümünde açıklandığı gibi ayarlayın

  • İşletim sisteminde sanallaştırma Hyper-V ile etkinleştirilmelidir

Önemli

  • 250'den fazla kullanıcısı olan veya yıllık geliri 10 milyon ABD dolarından fazla olan kurumsal müşteriler, Windows için Docker Desktop'ı kullanmak için ücretli abonelik gerektirir. Daha fazla bilgi için bkz . Docker aboneliğine genel bakış.
  • Docker'ın günlükleri toplaması için kullanıcının oturum açması gerekir. Docker kullanıcılarınızın oturumu kapatmadan bağlantısını kesmelerini öneririz.
  • Windows için Docker, VMWare sanallaştırma senaryolarında resmi olarak desteklenmez.
  • Windows için Docker, iç içe sanallaştırma senaryolarında resmi olarak desteklenmez. İç içe sanallaştırmayı kullanmayı planlıyorsanız Docker'ın resmi kılavuzuna bakın.
  • Windows için Docker ile ilgili ek yapılandırma ve uygulama konuları hakkında bilgi için bkz . Docker Desktop'ı Windows'a yükleme.

Not

Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:

docker stop <collector_name>
docker rm <collector_name>

Günlük toplayıcı performansı

Günlük toplayıcı saatte 50 GB’ye kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işleminde başlıca darboğazlar şunlardır:

  • Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.

  • Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcının, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizması vardır. Tıkanıklık durumlarında, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşıyorsa trafiği birden çok günlük toplayıcısı arasında bölmeniz önerilir.

Kurulum ve yapılandırma

1. Adım: Web portalı yapılandırması: Veri kaynaklarını tanımlama ve bunları bir günlük toplayıcıya bağlama

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Cloud Discovery'nin altında Otomatik günlük yükleme'yi seçin. Ardından Veri kaynakları sekmesini seçin.

  3. Günlükleri karşıya yüklemek istediğiniz her güvenlik duvarı veya ara sunucu için eşleşen bir veri kaynağı oluşturun.

    1. +Veri kaynağı ekle'yi seçin.
      Add a data source.
    2. Ara sunucunuza veya güvenlik duvarınıza Ad verin.
      Add name for data source.
    3. Kaynak listesinden gereci seçin. Listelenmeyen bir ağ gereci ile çalışmak için Özel günlük biçimi'ni seçerseniz yapılandırma yönergeleri için bkz. Özel günlük ayrıştırıcısıyla çalışma.
    4. Günlüğünüzü, beklenen günlük biçimi örneğiyle karşılaştırın. Günlük dosyası biçiminiz bu örnekle eşleşmiyorsa veri kaynağınızı Diğer olarak eklemeniz gerekir.
    5. Alıcı türünü FTP, FTPS, Syslog – UDP veya Syslog – TCP veya Syslog – TLS olarak ayarlayın.

    Not

    Güvenli aktarım protokolleriyle (FTPS ve Syslog – TLS) tümleştirmek için genellikle ek ayarlar veya güvenlik duvarınız/proxy'niz gerekir.

    f. Ağınızdaki trafiği algılamak üzere günlüklerini kullanabileceğiniz her güvenlik duvarı ve ara sunucu için bu işlemi yineleyin. Aşağıdakiler için ağ cihazı başına ayrılmış bir veri kaynağı ayarlamanız önerilir:

    • Araştırma amacıyla her cihazın durumunu ayrı ayrı izleyin.
    • Her cihaz farklı bir kullanıcı kesimi tarafından kullanılıyorsa cihaz başına Gölge BT Bulma'yı keşfedin.

  4. En üstteki Günlük toplayıcıları sekmesine gidin.

    1. Günlük toplayıcı ekle'yi seçin.
    2. Günlük toplayıcıya bir ad verin.
    3. Docker'ı dağıtmak için kullanacağınız makinenin Ana Bilgisayar IP adresini (özel IP adresi) girin. Ana bilgisayar adını çözümleyecek bir DNS sunucusu (veya eşdeğeri) varsa, ana bilgisayar IP adresi makine adıyla değiştirilebilir.
    4. Toplayıcıya bağlanmak istediğiniz tüm Veri kaynaklarını seçin ve yapılandırmayı kaydetmek için Güncelleştir'i seçin. Select data source to connect.

  5. Daha fazla dağıtım bilgisi görüntülenir. İletişim kutusundan çalıştır komutunu kopyalayın . Panoya kopyala simgesini kullanabilirsiniz. copy to clipboard icon. Buna daha sonra ihtiyacınız olacak.

  6. Beklenen veri kaynağı yapılandırmasını dışarı aktarın . Bu yapılandırma, gereçlerinizde günlük dışarı aktarmayı nasıl ayarlamanız gerektiğini açıklar.

    Create log collector.

    Not

    • Tek bir Günlük toplayıcı birden çok veri kaynağını işleyebilir.
    • Günlük Toplayıcı'yı Bulut için Defender Uygulamalarıyla iletişim kuracak şekilde yapılandırırken bilgilere ihtiyacınız olacağı için ekranın içeriğini kopyalayın. Syslog seçtiyseniz, Syslog dinleyicisinin hangi bağlantı noktasında dinleme yaptığı hakkında da bilgi içerir.
    • FTP aracılığıyla günlük verilerini ilk kez gönderen kullanıcılar için FTP kullanıcısının parolasını değiştirmenizi öneririz. Daha fazla bilgi için bkz . FTP parolasını değiştirme.

2. Adım : Makinenizin şirket içi dağıtımı

Aşağıdaki adımlarda Windows'ta dağıtım açıklanmaktadır. Diğer platformlar için dağıtım adımları biraz farklıdır.

  1. Windows makinenizde bir PowerShell terminalini yönetici olarak açın.

  2. Windows Docker yükleyicisi PowerShell betik dosyasını indirmek için aşağıdaki komutu çalıştırın: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Yükleyicinin Microsoft tarafından imzalandığını doğrulamak için bkz . Yükleyici imzasını doğrulama.

  3. PowerShell betiği yürütmeyi etkinleştirmek için komutunu çalıştırın Set-ExecutionPolicy RemoteSigned

  4. Çalıştır: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Docker istemcisi makinenize yüklenir.

    Docker is installed.

    Komutu çalıştırdıktan sonra makine otomatik olarak yeniden başlatılır.

  5. Makine yeniden çalışır duruma geldiğinde PowerShell'de aynı komutu çalıştırın: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Docker yükleyicisini çalıştırın. Hyper-V yerine WSL 2 kullan'ı seçin (önerilir):

    Installing Docker desktop.

    Yükleme tamamlandıktan sonra makine otomatik olarak yeniden başlatılır.

  7. Yeniden başlatma tamamlandıktan sonra Docker istemcisini açın ve Docker abonelik sözleşmesine geçin:

    Accept Docker service agreement.

  8. WSL2 yüklemesi tamamlanmazsa aşağıdaki açılır ileti görüntülenir:

    WSL 2 installation is incomplete.

  9. Linux çekirdek güncelleştirme paketini indirme bölümünde açıklandığı gibi paketi indirerek yüklemeyi tamamlayın.

  10. Docker Desktop istemcisini yeniden açın ve başlatıldığından emin olun:

    Open the Docker Desktop client.

  11. CMD'yi yönetici olarak çalıştırın ve portalda oluşturulan çalıştırma komutunu yazın. Ara sunucu yapılandırmanız gerekiyorsa, ara sunucu IP adresini ve bağlantı noktası numarasını ekleyin. Örneğin, proxy ayrıntılarınız 192.168.10.1:8080 ise, güncelleştirilmiş çalıştırma komutunuz şöyledir:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Aşağıdaki komutla toplayıcının düzgün çalıştığını doğrulayın: docker logs <collector_name>

Şu iletiyi görmeniz gerekir: Başarıyla tamamlandı!

Verify that collector is running properly.

3. Adım : Ağ gereçlerinizin şirket içi yapılandırması

Ağ güvenlik duvarlarınızı ve proxy'lerinizi, günlükleri iletişim kutusundaki yönergelere göre FTP dizininin ayrılmış Syslog bağlantı noktasına düzenli aralıklarla dışarı aktaracak şekilde yapılandırın. Örneğin:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. Adım - Portalda başarılı dağıtımı doğrulama

Günlük toplayıcı tablosunda toplayıcı durumunu denetleyin ve durumun Bağlan emin olun. Oluşturulduysa, günlük toplayıcı bağlantısı ve ayrıştırma tamamlanmamış olabilir.

Verify that the collector status is Connected.

Ayrıca İdare günlüğüne gidebilir ve günlüklerin düzenli aralıklarla portala yüklendiğini doğrulayabilirsiniz.

Alternatif olarak, aşağıdaki komutları kullanarak docker kapsayıcısının içinden günlük toplayıcı durumunu de kontrol edebilirsiniz:

  1. Şu komutu kullanarak kapsayıcıda oturum açın: docker exec -it <Container Name> bash
  2. Şu komutu kullanarak günlük toplayıcı durumunu doğrulayın: collector_status -p

Dağıtım sırasında sorun yaşıyorsanız bkz . Cloud Discovery Sorunlarını Giderme.

İsteğe bağlı - Özel sürekli raporlar oluşturma

Günlüklerin Bulut için Defender Uygulamalarına yüklendiğini ve raporların oluşturulduğunu doğrulayın. Doğrulamadan sonra özel raporlar oluşturun. Microsoft Entra kullanıcı gruplarını temel alan özel bulma raporları oluşturabilirsiniz. Örneğin, pazarlama departmanınızın bulut kullanımını görmek istiyorsanız, kullanıcı grubunu içeri aktar özelliğini kullanarak pazarlama grubunu içeri aktarın. Ardından bu grup için özel bir rapor oluşturun. Ayrıca bir raporu IP adresi etiketine veya IP adresi aralıklarına göre özelleştirebilirsiniz.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Cloud Discovery'nin altında Sürekli raporlar'ı seçin.

  3. Rapor oluştur düğmesini seçin ve alanları doldurun.

  4. Filtreler altında verileri veri kaynağına, içeri aktarılan kullanıcı grubuna veya IP adresi etiketlerine ve aralıklarına göre filtreleyebilirsiniz.

    Not

    Sürekli raporlara filtre uygulanırken, seçim dahil edilir, dışlanmaz. Örneğin, belirli bir kullanıcı grubuna filtre uygularsanız rapora yalnızca o kullanıcı grubu eklenir.

    Custom continuous report.

İsteğe bağlı - Yükleyici imzasını doğrulama

Docker yükleyicisinin Microsoft tarafından imzalandığından emin olmak için:

  1. Dosyaya sağ tıklayın ve Özellikler'i seçin.

  2. Dijital İmzalar'ı seçin ve Bu dijital imzanın tamam olduğundan emin olun.

  3. Microsoft Corporation'ın İmzalayanın adı altında tek girdi olarak listelendiğinden emin olun.

    Digital signature valid.

    Dijital imza geçerli değilse Bu dijital imza geçerli değil ifadesini verir:

    Digital signature not valid.

Sonraki adımlar

Günlük toplayıcı FTP yapılandırmasını değiştirme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.