Настройка автоматической отправки журналов для непрерывных отчетов

Сборщики журналов позволяют с легкостью автоматизировать отправку журналов из вашей сети. Сборщик журналов работает в сети и получает журналы через Syslog или FTP. Каждый журнал автоматически обрабатывается, сжимается и передается на портал. Журналы FTP отправляются в Microsoft Defender for Cloud Apps после завершения передачи файла по FTP в сборщик журналов. Для файлов Syslog сборщик журналов записывает полученные журналы на диск. Затем сборщик отправляет файл в Defender for Cloud Apps, когда размер файла превышает 40 КБ.

После отправки журнала в Defender for Cloud Apps он перемещается в каталог резервного копирования. В каталоге резервного копирования хранятся последние 20 журналов. При поступлении новых журналов старые удаляются. Каждый раз, когда дисковое пространство сборщика журналов заполнено, сборщик журналов удаляет новые журналы, пока не будет больше свободного места на диске (это не должно произойти, если предварительные требования выполнены должным образом). В этом случае вы увидите предупреждение на вкладке Сборщики журналируемых данных в параметрах Отправлять журналы автоматически.

Перед настройкой автоматического сбора файлов журнала проверьте, соответствует ли журнал ожидаемому типу журнала. Вы хотите убедиться, что Defender for Cloud Apps может проанализировать конкретный файл. Дополнительные сведения см. в статье Об использовании журналов трафика для облачного обнаружения.

Примечание.

  • Defender для облака Приложения предоставляют поддержку пересылки журналов с сервера SIEM на сборщик журналов, предполагая, что журналы перенаправляются в исходном формате. Но настоятельно рекомендуется непосредственно интегрировать сборщик журналируемых данных с вашим брандмауэром и прокси-сервером.
  • Сборщик журналируемых данных сжимает данные перед отправкой. Исходящий трафик сборщика журналов будет составлять 10 % от размера получаемых им журналов трафика.
  • Если в сборщике журналируемых данных возникли проблемы, вы получите уведомление, когда данные не будут получаться в течение 48 часов.

Необходимые компоненты

  • Дисковое пространство 250 ГБ
  • Ядра ЦП: 2
  • Архитектура ЦП: Intel® 64 и AMD 64
  • ОЗУ: 4 ГБ
  • Настройте брандмауэр, как описано в перечне требований к сети

Примечание.

Если у вас есть сборщик журналов и вы хотите удалить его перед его развертыванием еще раз или просто хотите удалить его, выполните следующие команды:

docker stop <collector_name>

docker rm <collector_name>

Примечание.

Чтобы установить новую версию сборщика журналов, необходимо остановить сборщик журналов, удалить текущий образ и установить новый.

Производительность сборщика журналируемых данных

Сборщик журналируемых данных может успешно обрабатывать до 50 ГБ журналов в час. Основными узкими местами в процессе сбора журналов являются:

  • Пропускная способность сети — определяет скорость отправки журналов.
  • Производительность ввода-вывода виртуальной машины — определяет скорость записи журналов на диск сборщика журналов. Сборщик журналируемых данных снабжен встроенным защитным механизмом, который контролирует скорость поступления журналов и сравнивает ее со скоростью передачи. В случае перегрузки сборщик начинает удалять файлы журнала. Если нагрузка обычно превышает 50 ГБ в час, рекомендуется разделить трафик между несколькими сборщиками журналируемых данных.

Сборщик журналов поддерживает режим развертывания контейнера . Дополнительные сведения см. в разделе:

Следующие шаги