設定連續報告的自動化記錄上傳
記錄收集器可讓您輕鬆地從網路自動上傳記錄。 記錄收集器在網路上執行,並透過 Syslog 或 FTP 接收記錄。 每個記錄都會自動化處理、壓縮並傳輸到入口網站。 FTP 記錄在檔案完成 FTP 傳輸至記錄收集器之後,上傳到適用於雲端應用程式的 Microsoft Defender。 使用 Syslog 時,記錄收集器會將收到的記錄寫入磁碟。 之後,當檔案大小大於 40 KB 時,記錄收集器會將檔案上傳至 Defender for Cloud Apps。
將記錄上傳至 Defender for Cloud Apps 之後,系統會將記錄移動至備份目錄。 備份目錄會儲存最後 20 個記錄。 當有新記錄出現時,舊記錄就會遭到刪除。 每當記錄收集器磁碟空間已滿時,記錄收集器就會卸除新的記錄,直到其具有更多可用磁碟空間為止(如果符合必要條件,則不應該發生這種情況)。 發生這種情況時,您會在 [自動上傳記錄] 設定的 [記錄收集器] 索引標籤上收到警告。
設定自動化記錄檔收集之前,請驗證您的記錄檔符合預期的記錄類型。 您想要確認 Defender for Cloud Apps 可以剖析您的特定檔案。 如需詳細資訊,請參閱 使用流量記錄進行雲端探索。
注意
- 適用於雲端的 Defender Apps 支援將記錄從 SIEM 伺服器轉送至記錄收集器,假設記錄正以原始格式轉送。 不過,強烈建議您直接整合記錄收集器與防火牆及 (或) Proxy。
- 記錄收集器會先壓縮資料,然後再上傳。 記錄收集器上的外寄流量將會是所接收之流量記錄大小的 10%。
- 如果記錄收集器發生問題,在 48 小時未收到資料之後,您會收到警示。
必要條件
- 磁碟空間 250 GB
- CPU 核心:2
- CPU 架構:Intel® 64 和 AMD 64
- RAM:4 GB
- 如網路需求中所述,設定您的防火牆
注意
如果您有現有的記錄收集器,而且想要在再次部署之前移除它,或者如果您只想移除它,請執行下列命令:
docker stop <collector_name>
docker rm <collector_name>
注意
若要安裝新的記錄收集器版本,您必須停止記錄收集器、移除目前的映像,並安裝新的映像。
記錄收集器效能
記錄收集器可以處理的記錄檔容量,每小時最多 50 GB。 記錄收集程序的主要瓶頸是︰
- 網路頻寬 - 您的網路頻寬會決定記錄的上傳速度。
- 虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器有內建的安全機制,會監視記錄檔到達的速率,並與上傳速率相比較。 如果網路擁塞,記錄收集器就會開始卸除記錄檔。 若您的設定通常每個小時都會超過 50 GB,則建議將流量分割至多個記錄收集器。
相關內容
記錄收集器支援 容器 部署模式。 如需詳細資訊,請參閱
- 在 Windows 上使用內部部署 Docker 設定自動記錄上傳
- 使用 Podman 設定自動記錄上傳
- 在 Azure 中使用 Docker 設定自動記錄上傳
- 在 Azure Kubernetes Service 中使用 Docker 設定自動記錄上傳 (AKS)