Freigeben über

Automatischen Protokollupload für fortlaufende Berichte konfigurieren

  • Artikel

Mithilfe von Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP. Jedes Protokoll wird automatisch verarbeitet, komprimiert und an das Portal übertragen. FTP-Protokolle werden nach Abschluss der FTP-Übertragung an den Protokollsammler in Microsoft Defender for Cloud Apps hochgeladen. Bei Syslog schreibt der Protokollsammler die empfangenen Protokolle auf die Festplatte. Wenn die Dateigröße größer als 40 KB ist, lädt der Sammler die Datei in Defender for Cloud Apps hoch.

Nachdem ein Protokoll in Defender for Cloud Apps hochgeladen wurde, wird es in ein Sicherungsverzeichnis verschoben. Das Backup-Verzeichnis speichert die letzten 20 Protokolle. Wenn neue Protokolle ankommen, werden die alten gelöscht. Wenn der Speicherplatz des Protokollsammlers voll ist, löscht der Protokollsammler neue Protokolle, bis mehr freier Speicherplatz verfügbar ist (dies sollte nicht geschehen, wenn die Voraussetzungen ordnungsgemäß erfüllt sind). In diesem Fall erhalten Sie auf der Registerkarte Protokollsammler der Einstellungen Protokolle automatisch hochladen eine Warnung.

Überprüfen Sie vor dem Einrichten der automatischen Protokolldateisammlung, ob Ihr Protokoll mit dem erwarteten Protokolltyp übereinstimmt. Sie möchten sicherstellen, dass Defender for Cloud Apps Ihre spezifische Datei analysieren kann. Weitere Informationen finden Sie unter Verwenden von Datenverkehrsprotokollen für die Cloudermittlung.

Hinweis

  • Defender for Cloud Apps bietet Unterstützung für das Weiterleiten von Protokollen von Ihrem SIEM-Server an den Protokollsammler, vorausgesetzt, die Protokolle werden im ursprünglichen Format weitergeleitet. Es wird jedoch dringend empfohlen, den Protokollsammler direkt in Ihre Firewall und/oder Ihren Proxy zu integrieren.
  • Der Protokollsammler komprimiert Die Daten, bevor sie hochgeladen werden. Der ausgehende Datenverkehr auf dem Protokollsammler beträgt 10 % der Größe der empfangenen Datenverkehrsprotokolle.
  • Wenn beim Protokollsammler Probleme auftreten, erhalten Sie eine Warnung, nachdem 48 Stunden lang keine Daten empfangen wurden.

Voraussetzungen

  • Speicherplatz 250 GB
  • CPU-Kerne: 2
  • CPU-Architektur: Intel® 64 und AMD 64
  • RAM: 4 GB
  • Legen Sie Ihre Firewall wie unter Netzwerkanforderungen beschrieben fest.

Hinweis

Wenn Sie über einen vorhandenen Protokollsammler verfügen und ihn vor der erneuten Bereitstellung entfernen möchten, oder wenn Sie ihn einfach entfernen möchten, führen Sie die folgenden Befehle aus:

docker stop <collector_name>

docker rm <collector_name>

Hinweis

Um eine neue Protokollsammlerversion zu installieren, müssen Sie Ihren Protokollsammler beenden, das aktuelle Image entfernen und das neue installieren.

Protokollsammlerleistung

Der Protokollsammler kann eine Protokollkapazität von bis zu 50 GB pro Stunde erfolgreich verarbeiten. Die Standard Engpässe im Protokollsammlungsprozess sind:

  • Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.
  • E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle eingehen, und sie mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu löschen. Wenn Ihr Setup in der Regel 50 GB pro Stunde überschreitet, wird empfohlen, den Datenverkehr auf mehrere Protokollsammler aufzuteilen.

Verwandte Inhalte

Der Protokollsammler unterstützt den Containerbereitstellungsmodus. Weitere Informationen finden Sie unter:

Nächste Schritte

Arbeiten mit Cloud Discovery-Daten