Configurare il caricamento automatico dei log per report continui

Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP. Ogni log viene elaborato, compresso e trasmesso automaticamente al portale. I log FTP vengono caricati in Microsoft Defender for Cloud Apps dopo che il file ha completato il trasferimento FTP all'agente di raccolta log. Per i file SysLog, l'agente di raccolta log scrive i log ricevuti sul disco. L'agente di raccolta log carica quindi il file in Defender for Cloud Apps quando le dimensioni sono superiori a 40 KB.

Dopo il caricamento in Defender for Cloud Apps, il log viene spostato in una directory di backup. La directory di backup archivia gli ultimi 20 log. Quando arrivano nuovi log, i vecchi log vengono eliminati. Ogni volta che lo spazio su disco dell'agente di raccolta log è pieno, l'agente di raccolta log elimina nuovi log fino a quando non ha più spazio libero su disco (questo non dovrebbe verificarsi se i prerequisiti sono soddisfatti correttamente). In questo caso verrà visualizzato un avviso nella scheda Agenti di raccolta log delle impostazioni Carica automaticamente i log.

Prima di configurare la raccolta automatica dei file di log, verificare che il log corrisponda al tipo di log previsto. È consigliabile assicurarsi che Defender for Cloud Apps possa analizzare il file specifico. Per altre informazioni, vedere Uso dei log del traffico per Cloud Discovery.

Nota

  • Defender per il cloud App fornisce il supporto per l'inoltro dei log dal server SIEM all'agente di raccolta log, presupponendo che i log vengano inoltrati nel formato originale. È tuttavia consigliabile integrare l'agente di raccolta log direttamente con il firewall e/o il proxy.
  • L'agente di raccolta log comprime i dati prima di essere caricato. Il traffico in uscita nell'agente di raccolta log sarà pari al 10% delle dimensioni dei log del traffico ricevuti.
  • Se l'agente di raccolta log riscontra problemi, si riceverà un avviso dopo la mancata ricezione dei dati per 48 ore.

Prerequisiti

  • Spazio su disco 250 GB
  • Core CPU: 2
  • Architettura CPU: Intel® 64 e AMD 64
  • RAM: 4 GB
  • Impostare il firewall come descritto in Requisiti di rete

Nota

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>

docker rm <collector_name>

Nota

Per installare una nuova versione dell'agente di raccolta log, è necessario arrestare l'agente di raccolta log, rimuovere l'immagine corrente e installarla nuova.

Prestazioni dell'agente di raccolta log

L'agente di raccolta log è in grado di gestire correttamente una capacità di log fino a 50 GB all'ora. I principali colli di bottiglia nel processo di raccolta dei log sono:

  • Larghezza di banda della rete: la larghezza di banda della rete determina la velocità di caricamento dei log.
  • Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log ha un meccanismo di protezione integrato che controlla la velocità con cui arrivano i log e la confronta con la velocità di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare file di log. Se generalmente la configurazione supera i 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Log Collector supporta la modalità di distribuzione contenitore . Per altre informazioni, vedi:

Passaggi successivi