Configurar o carregamento automático de logs usando o Podman

Este artigo descreve como configurar o carregamento automático de logs para relatórios contínuos no Defender for Cloud Apps usando um contêiner do Podman no Linux em um servidor local. Os clientes que usam RHEL 7.1 ou superior devem usar o Podman para coleta automática de logs.

Pré-requisitos

Antes de começar:

• Certifique-se de estar usando um contêiner com RHEL 7.1 e superior.
• Como o Docker e o Podman não podem coexistir na mesma máquina, certifique-se de desinstalar todas as instalações do Docker antes de executar o Podman.
• Certifique-se de que você está conectado à máquina RHEL como usuário root para implantar o Podman

Instalação e configuração

1. Inicie sessão no Microsoft Defender XDR e selecione Definições, > Cloud Apps > , Cloud Discovery > , Carregamento automático de registos.

2. Verifique se você tem uma fonte de dados definida na guia Fontes de dados. Caso contrário, selecione Adicionar uma fonte de dados para adicionar uma.

3. Selecione a guia Coletores de log, que lista todos os coletores de log implantados em seu locatário.

4. Selecione o link Adicionar coletor de log. Em seguida, na caixa de diálogo Criar coletor de log, digite:

   Campo	Descrição
   Nome	Insira um nome significativo, com base nas principais informações que o coletor de logs usa, como seu padrão de nomenclatura interno ou um local do site.
   Endereço IP do host ou FQDN	Insira a máquina host do coletor de logs ou o endereço IP da máquina virtual (VM). Certifique-se de que seu serviço syslog ou firewall pode acessar o endereço IP / FQDN que você inserir.
   Fonte(s) de dados	Selecione a fonte de dados que deseja usar. Se você estiver usando várias fontes de dados, a fonte selecionada será aplicada a uma porta separada para que o coletor de log possa continuar a enviar dados de forma consistente. Por exemplo, a lista a seguir mostra exemplos de combinações de fonte de dados e porta: - Palo Alto: 601 - Ponto de Verificação: 602 - ZScaler: 603

5. Selecione Criar para mostrar mais instruções na tela para sua situação específica.

6. Copie o comando exibido e modifique-o conforme necessário com base no serviço de contêiner que você está usando. Por exemplo:

   (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
   

7. Execute o comando modificado em sua máquina para implantar o contêiner. Quando bem-sucedidos, os logs mostram a extração de uma imagem do mcr.microsoft.com e a continuação da criação de blobs para o contêiner.

8. Quando o contêiner estiver totalmente implantado, verifique se ele está funcionando verificando com o serviço de conteinerização:

   podman ps
   

Resolução de Problemas

Se você não estiver obtendo logs de firewall do contêiner do Podman, verifique o seguinte:

1. Certifique-se de que rsyslog gira no coletor de log.

2. Se você tiver feito alterações, aguarde algumas horas e execute o seguinte comando para ver se algo foi alterado:

   podman logs <container name>
   

   onde <container name> é o nome do contêiner que você está usando.

3. Se os logs ainda não forem enviados, certifique-se de que o contêiner seja implantado usando o --privileged sinalizador. Se você não tiver implantado seu contêiner com o --privileged sinalizador, o contêiner não coletará arquivos carregados na máquina host.

Conteúdos relacionados

Para obter mais informações, consulte Configurar o carregamento automático de logs para relatórios contínuos.