Podman을 사용하여 자동 로그 업로드 구성

  • 아티클

참고 항목

클라우드용 Microsoft Defender 앱은 이제 Microsoft Defender XDR은 Microsoft Defender 제품군 전체의 신호를 상호 연관시키고 인시던트 수준 검색, 조사 및 강력한 대응 기능을 제공합니다. 자세한 내용은 Microsoft Defender XDR의 Microsoft Defender for Cloud Apps를 참조하세요.

이 문서에서는 온-프레미스 서버의 Linux에서 Podman 컨테이너를 사용하여 클라우드용 Defender 앱에서 연속 보고서에 대한 자동 로그 업로드를 구성하는 방법을 설명합니다. RHEL 7.1 이상을 사용하는 고객은 자동 로그 수집에 Podman을 사용해야 합니다.

필수 조건

시작하기 전에:

  • RHEL 7.1 이상에서 컨테이너를 사용하고 있는지 확인합니다.
  • Docker와 Podman은 동일한 컴퓨터에서 공존할 수 없으므로 Podman을 실행하기 전에 Docker 설치를 제거해야 합니다.
  • Podman을 배포하기 위해 RHEL 머신에 사용자 root 로 로그인했는지 확인합니다.

설정 및 구성

  1. Microsoft Defender XDR에 로그인하고 설정 > Cloud Apps > Cloud Discovery > 자동 로그 업로드를 선택합니다.

  2. 데이터 원본 탭에 데이터 원본이 정의되었는지 확인합니다. 그렇지 않은 경우 데이터 원본 추가를 선택하여 추가합니다.

  3. 테넌트에 배포된 모든 로그 수집기를 나열하는 로그 수집기 탭을 선택합니다.

  4. 로그 수집기 추가 링크를 선택합니다. 그런 다음 로그 수집기 만들기 대화 상자에서 다음을 입력합니다.

    필드 설명
    이름 내부 명명 표준 또는 사이트 위치와 같이 로그 수집기에서 사용하는 주요 정보를 기반으로 의미 있는 이름을 입력합니다.
    호스트 IP 주소 또는 FQDN 로그 수집기의 호스트 머신 또는 VM(가상 머신) IP 주소를 입력합니다. syslog 서비스 또는 방화벽이 입력한 IP 주소/FQDN에 액세스할 수 있는지 확인합니다.
    데이터 원본 사용하려는 데이터 원본을 선택합니다. 여러 데이터 원본을 사용하는 경우 로그 수집기가 지속적으로 데이터를 계속 보낼 수 있도록 선택한 원본이 별도의 포트에 적용됩니다.

    예를 들어 다음 목록에서는 데이터 원본 및 포트 조합의 예를 보여 줍니다.
    - 팔로 알토: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. 만들기를 선택하여 특정 상황에 대한 추가 지침을 화면에 표시합니다.

  6. 표시된 명령을 복사하고 사용 중인 컨테이너 서비스에 따라 필요에 따라 수정합니다. 예시:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. 컴퓨터에서 수정된 명령을 실행하여 컨테이너를 배포합니다. 성공하면 로그는 mcr.microsoft.com 이미지를 끌어와 컨테이너에 대한 Blob을 계속 만드는 것을 보여 줍니다.

  8. 컨테이너가 완전히 배포되면 컨테이너화 서비스를 확인하여 컨테이너가 작동하는지 확인합니다.

    podman ps

참고 항목

호스트 서버를 다시 부팅하면 Podman 컨테이너가 자동으로 시작되지 않습니다. Podman 호스트 컴퓨터를 다시 시작하려면 컨테이너도 다시 시작해야 합니다.

문제 해결

Podman 컨테이너에서 방화벽 로그를 가져오지 않는 경우 다음을 확인합니다.

  1. rsyslog가 로그 수집기에서 회전하는지 확인합니다.

  2. 변경한 경우 몇 시간 동안 기다렸다가 다음 명령을 실행하여 변경된 내용이 있는지 확인합니다.

    podman logs <container name>

    은 사용 <container name> 중인 컨테이너의 이름입니다.

  3. 로그가 아직 전송되지 않은 경우 플래그를 사용하여 --privileged 컨테이너가 배포되었는지 확인합니다. 플래그를 사용하여 --privileged 컨테이너를 배포하지 않은 경우 컨테이너는 업로드된 파일을 호스트 컴퓨터에 수집하지 않습니다.

관련 콘텐츠

자세한 내용은 연속 보고서에 대한 자동 로그 업로드 구성을 참조하세요.