在 Azure Kubernetes Service 上使用 Docker 設定自動記錄上傳 (AKS)
本文說明如何使用 Azure Kubernetes Service (AKS) 上的 Docker 容器,在 適用於雲端的 Defender Apps 中設定連續報告的自動記錄上傳。
注意
適用於雲端的 Microsoft Defender Apps 現在是 Microsoft Defender 全面偵測回應 的一部分,它與來自 Microsoft Defender 套件的訊號相互關聯,並提供事件層級偵測、調查和強大的回應功能。 如需詳細資訊,請參閱 Microsoft Defender XDR 中的 Microsoft Defender for Cloud Apps。
安裝及設定
登入 Microsoft Defender 全面偵測回應,然後選取 [設定 Cloud Apps > Cloud Discovery > 自動記錄上傳>]。
請確定您已在 [資料源] 索引標籤上定義數據源。如果您未這麼做,請選取 [新增數據源] 以新增數據源。
選取 [ 記錄收集器] 索引標籤,其中會列出您租使用者上部署的所有記錄收集器。
選取 [ 新增記錄收集器 ] 連結。 然後,在 [ 建立記錄收集器] 對話框中,輸入:
欄位 描述 名稱 根據記錄收集器所使用的重要資訊,輸入有意義的名稱,例如您的內部命名標準或網站位置。 主機IP位址或 FQDN 輸入您的記錄收集器主電腦或虛擬機 (VM) IP 位址。 請確定您的 syslog 服務或防火牆可以存取您輸入的 IP 位址 /FQDN。 資料來源(s) 選取您想要使用的資料來源。 如果您使用多個數據源,則選取的來源會套用至個別的埠,以便記錄收集器可以繼續以一致的方式傳送數據。
例如,下列清單顯示資料來源和埠組合的範例:
- 帕洛阿爾托: 601
- CheckPoint:602
- ZScaler:603選取 [建立 ] 以顯示畫面上針對特定情況的進一步指示。
移至您的 AKS 叢集組態並執行:
kubectl config use-context <name of AKS cluster>使用下列語法執行 helm 命令:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0使用設定收集器時所使用的 docker 命令,尋找 helm 命令的值。 例如:
(echo <Generated ID>) | docker run --name SyslogTLStest
成功時,記錄會顯示從 mcr.microsoft.com 提取映像,並繼續為容器建立 Blob。
相關內容
如需詳細資訊,請參閱針對連續報告設定自動記錄上傳。