Configurar o upload automático de logs com o Podman

Este artigo descreve como configurar o carregamento automático de logs para relatórios contínuos nos aplicativos do Defender para Nuvem usando um contêiner Podman no Linux em um servidor na infraestrutura local. Os clientes que usam o RHEL 7.1 ou superior devem usar o Podman para a coleta automática de logs.

Pré-requisitos

Antes de começar:

• Certifique-se de usar um contêiner com RHEL 7.1 e superior.
• Como o Docker e o Podman não podem coexistir na mesma máquina, desinstale todas as instâncias do Docker antes de executar o Podman.
• Certifique-se de estar conectado à máquina RHEL como usuário root para implantar o Podman

Instalação e configuração

1. Entre no Microsoft Defender XDR e selecione Configurações > Aplicativos de nuvem > Cloud Discovery > Upload automático de logs.

2. Certifique-se de ter uma fonte de dados definida na guia Fontes de dados. Se não tiver, selecione Adicionar uma fonte de dados para adicionar uma.

3. Selecione a guia Coletores de log, que lista todos os coletores de log implantados no seu locatário.

4. Selecione o link Adicionar coletor de log. Em seguida, na caixa de diálogo Criar coletor de log, digite:

   Campo	Descrição
   Nome	Digite um nome significativo, com base nas principais informações que o coletor de log usa, como seu padrão de nomenclatura interno ou um local de site.
   Endereço IP do host ou FQDN	Digite o endereço IP da máquina host ou da máquina virtual (VM) do coletor de logs. Certifique-se de que seu serviço syslog ou firewall pode acessar o endereço IP/FQDN que você digitar.
   Fonte(s) de dados	Selecione a fonte de dados que deseja usar. Se você estiver usando diversas fontes de dados, a fonte selecionada será aplicada a uma porta separada para o coletor de log poder continuar enviando dados de forma consistente. Por exemplo, a lista a seguir apresenta exemplos de combinações de fonte de dados e porta: - Palo Alto: 601 - CheckPoint: 602 - ZScaler: 603

5. Selecione Criar para apresentar mais instruções na tela para sua situação específica.

6. Copie o comando apresentado e modifique-o conforme necessário com base no serviço de contêiner que você está usando. Por exemplo:

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. Execute o comando modificado na sua máquina para implantar o contêiner. Quando bem-sucedido, os logs mostram a extração de uma imagem de mcr.microsoft.com e a continuação da criação de blobs para o contêiner.

8. Quando o contêiner estiver totalmente implantado, confira se ele está funcionando verificando com o serviço de conteinerização:

   podman ps
   

Solução de problemas

Caso não esteja recebendo logs de firewall do contêiner do Podman, verifique o seguinte:

1. Certifique-se de que o rsyslog gire no coletor de log.

2. Se você tiver feito alterações, aguarde algumas horas e execute este comando para ver se algo foi alterado:

   podman logs <container name>
   

   em que <container name> é o nome do contêiner que você está usando.

3. Se os logs ainda não tiverem sido enviados, verifique se o contêiner foi implantado usando o sinalizador --privileged. Se você não tiver implantado seu contêiner com o sinalizador --privileged, o contêiner não reunirá arquivos carregados na máquina host.

Conteúdo relacionado

Saiba mais em Configurar upload de log automático para relatórios contínuos.