使用 Podman 設定自動記錄上傳 （預覽）

注意

適用於雲端的 Microsoft Defender Apps 現在是 Microsoft Defender 全面偵測回應 的一部分，它與來自 Microsoft Defender 套件的訊號相互關聯，並提供事件層級偵測、調查和強大的回應功能。 如需詳細資訊，請參閱 適用於雲端的 Microsoft Defender Microsoft Defender 全面偵測回應 中的應用程式。

本文說明如何在內部部署伺服器中使用Linux上的Podman容器，在適用於雲端的 Defender Apps中設定連續報告的自動記錄上傳。 使用 RHEL 7.1 或更高版本的客戶必須使用 Podman 進行自動記錄收集。

必要條件

在開始之前：

• 請確定您使用的是具有 RHEL 7.1 和更新版本的容器。
• 由於 Docker 和 Podman 無法共存於同一部電腦上，因此在執行 Podman 之前，請務必先卸載任何 Docker 安裝。
• 請確定您已以使用者 root 身分登入 RHEL 計算機，以部署 Podman

安裝及設定

1. 登入 Microsoft Defender 全面偵測回應，然後選取 [設定 > Cloud Apps > Cloud Discovery > 自動記錄上傳]。

2. 請確定您已在 [資料源] 索引標籤上定義數據源。如果您未這麼做，請選取 [新增數據源] 以新增數據源。

3. 選取 [ 記錄收集器] 索引標籤，其中會列出您租使用者上部署的所有記錄收集器。

4. 選取 [ 新增記錄收集器 ] 連結。 然後，在 [ 建立記錄收集器] 對話框中，輸入：

   欄位	描述
   名稱	根據記錄收集器所使用的重要資訊，輸入有意義的名稱，例如您的內部命名標準或網站位置。
   主機IP位址或 FQDN	輸入您的記錄收集器主電腦或虛擬機 （VM） IP 位址。 請確定您的 syslog 服務或防火牆可以存取您輸入的 IP 位址 /FQDN。
   資料來源（s）	選取您想要使用的資料來源。 如果您使用多個數據源，則選取的來源會套用至個別的埠，以便記錄收集器可以繼續以一致的方式傳送數據。 例如，下列清單顯示資料來源和埠組合的範例： - 帕洛阿爾托： 601 - CheckPoint：602 - ZScaler：603

5. 選取 [建立 ] 以顯示畫面上針對特定情況的進一步指示。

6. 根據您使用的容器服務，複製顯示的命令並視需要加以修改。 例如：

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. 在您的電腦上執行修改過的命令，以部署容器。 成功時，記錄會顯示從 mcr.microsoft.com 提取映像，並繼續為容器建立 Blob。

8. 當容器完全部署時，請透過檢查容器化服務來確認它是否正常運作：

   podman ps
   

注意

當主機伺服器重新啟動時，Podman 容器不會自動啟動。 重新啟動 Podman 主電腦時，您也必須重新啟動容器。

疑難排解

如果您未從 Podman 容器取得防火牆記錄，請檢查下列各項：

1. 請確定 rsyslog 在記錄收集器上旋轉。

2. 如果您已進行變更，請等候數小時並執行下列命令，以查看是否有任何變更：

   podman logs <container name>
   

   其中 <container name> 是您使用的容器名稱。

3. 如果記錄仍未傳送，請確定容器是使用 --privileged 旗標部署的。 如果您尚未使用 --privileged 旗標部署容器，容器將不會將上傳的檔案收集到主計算機。

相關內容

如需詳細資訊，請參閱針對連續報告設定自動記錄上傳。