Configurar o upload automático de log para relatórios contínuos
Os coletores de log permitem automatizar facilmente o upload de log da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP. Cada log é processado, compactado e transmitido automaticamente para o portal. Os logs de FTP são carregados no Microsoft Defender para Aplicativos na Nuvem depois que o arquivo concluiu a transferência de FTP para o Coletor de Logs. Para o Syslog, o Coletor de Logs grava os logs recebidos no disco. Em seguida, o coletor carrega o arquivo no Defender para Aplicativos na Nuvem quando o tamanho do arquivo é maior que 40 KB.
Depois que um log é carregado, o Defender para Aplicativos na Nuvem move o log para um diretório de backup. O diretório de backup armazena os últimos 20 logs. Quando novos logs chegam, os antigos são excluídos. Sempre que o espaço em disco do coletor de logs estiver cheio, o coletor de logs descarta novos logs até que tenha mais espaço em disco livre (isso não deve acontecer se os pré-requisitos forem devidamente atendidos). Você receberá um aviso na guia Coletores de logs das configurações Fazer upload de logs automaticamente quando isso acontecer.
Antes de configurar a coleta automática de arquivos de log, verifique se o log corresponde ao tipo de log esperado. Você deseja garantir que o Defender para Aplicativos na Nuvem possa analisar seu arquivo específico. Para saber mais, consulte Usar logs de tráfego para o Cloud Discovery.
Observação
- O Defender para Aplicativos de Nuvem dá suporte ao encaminhamento de logs do servidor SIEM para o coletor de logs, supondo que os logs estão sendo encaminhados no formato original. No entanto, é altamente recomendável que você integre o coletor de logs diretamente ao seu firewall e/ou proxy.
- O coletor de logs compacta os dados antes de eles serem carregados. O tráfego de saída no coletor de logs será de 10% do tamanho dos logs de tráfego recebidos.
- Se o coletor de logs encontrar problemas, você receberá um alerta quando deixar de receber dados por 48 horas.
Pré-requisitos
- Espaço em disco: 250 GB.
- Núcleos de CPU: 2
- Arquitetura da CPU: Intel® 64 e AMD 64
- RAM: 4 GB
- Defina o firewall conforme descrito nos Requisitos de rede
Observação
Se você tiver um coletor de logs existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:
docker stop <collector_name>
docker rm <collector_name>
Observação
Para instalar uma nova versão do coletor de logs, você precisará interromper o coletor de logs, remover a imagem atual e instalar a nova.
Desempenho do coletor de logs
O coletor de logs pode lidar com êxito com a capacidade de logs de até 50 GB por hora. Os principais gargalos no processo de coleta de logs são:
- Largura de banda da rede – a largura de banda da rede determina a velocidade de upload do log.
- Desempenho de E/S da máquina virtual – determina a velocidade em que os logs são gravados no disco do coletor de logs. O coletor de logs tem um mecanismo de segurança interno que monitora a taxa na qual os logs chegam e a compara à taxa de upload. Em casos de congestionamento, o coletor de logs começa a remover os arquivos de log. Se a configuração geralmente excede 50 GB por hora, recomendamos que você divida o tráfego entre vários coletores de logs.
Conteúdo relacionado
O coletor de logs dá suporte ao modo de implantação Contêiner. Para saber mais, veja:
- Configurar o upload automático de logs usando o Docker local no Windows
- Configurar o upload automático de logs com o Podman
- Configurar o upload automático de logs usando o Docker no Azure
- Configurar o upload automático de logs usando o Docker no Azure Kubernetes Service (AKS)