Freigeben über

Erweiterte Protokollsammlerverwaltung

  • Artikel

In diesem Artikel wird beschrieben, wie Sie erweiterte Optionen für Defender for Cloud Apps Cloud Discovery-Protokollsammler konfigurieren.

Defender for Cloud Apps Cloud Discovery konzentriert sich weiterhin auf basisbasierte Firewallformate. Änderungen an den Protokollen, die auf Firewallebene weitergeleitet werden, funktionieren möglicherweise nicht mehr oder führen zu Problemen bei der Analyse. Wenn Sie solche Fehler finden, empfehlen wir Ihnen, weiterhin das Basisfirewallformat zu verwenden oder Optionen mit dem benutzerdefinierten Protokollsammler zu verwenden. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten Protokollparsers.

In diesem Artikel wird beschrieben, wie Sie die Konfiguration für Ihre Defender for Cloud Apps Cloud Discovery Docker ändern.

Ändern der FTP-Konfiguration des Protokollsammlers

Führen Sie die folgenden Schritte in den folgenden Abschnitten aus, um die Konfiguration für Ihre Defender for Cloud Apps Cloud Discovery-Docker zu ändern.

Überprüfen der Protokollsammlerversion

Um die Version des derzeit auf Ihrem System installierten Protokollsammlers zu überprüfen, stellen Sie eine Verbindung mit dem Protokollsammlerhost her, und führen Sie Folgendes aus:

cat /var/adallom/versions | grep columbus-

Ändern des FTP-Kennworts

In diesem Verfahren wird beschrieben, wie Sie das Kennwort ändern, das für den Zugriff auf Protokollsammlerdateien verwendet wird:

  1. Stellen Sie eine Verbindung mit dem Protokollsammlerhost her, und führen Sie Folgendes aus:

    docker exec -it <collector name> pure-pw passwd <ftp user>

  2. Geben Sie Ihr neues Kennwort ein, und geben Sie es zur Bestätigung erneut ein.

  3. Führen Sie den folgenden Befehl aus, um die Änderung anzuwenden:

    docker exec -it <collector name> pure-pw mkdb

Sie sollten in der Lage sein, die folgenden Inhalte anzuzeigen:

  • run_logs
  • ssl_update
  • config.json

Anpassen von Zertifikatdateien

In diesem Verfahren wird beschrieben, wie Sie die Zertifikatdateien anpassen, die für sichere Verbindungen mit dem Docker-instance für Cloud Discovery verwendet werden.

  1. Öffnen Sie einen FTP-Client, und stellen Sie eine Verbindung mit dem Protokollsammlerhost her.

  2. Navigieren Sie zum ssl_update Verzeichnis, und laden Sie die neuen Zertifikatdateien einschließlich der folgenden Dateien hoch:

    Empfängertyp Erforderliche Dateien
    FTP - pure-ftpd.pem: Enthält die Schlüssel- und Zertifikatdaten.
    Syslog - ca.pem: Das Zertifikat der Zertifizierungsstelle, das zum Signieren des Zertifikats des Clients verwendet wurde.
    - server-key.pem und server-cert.pem: Zertifikat und Schlüssel des Protokollsammlers

    Syslog-Nachrichten werden über TLS an den Protokollsammler gesendet, der eine gegenseitige TLS-Authentifizierung erfordert, einschließlich der Authentifizierung von Client- und Serverzertifikaten.

    Dateinamen sind obligatorisch. Wenn eine der Dateien fehlt, schlägt das Update fehl.

  3. Führen Sie in einem Terminalfenster Folgendes aus:

    docker exec -t <collector name> update_certs

    Die Ausgabe sollte in etwa wie der folgende Code aussehen:

    root@DockerPlayground:~# docker exec -t columbus update_certs
rsyslog: stopped
rsyslog: started
ftpd: stopped
ftpd: started
root@DockerPlayground:~#

  4. Führen Sie in einem Terminalfenster Folgendes aus:

    docker exec <collector name> chmod -R 700 /etc/ssl/private/

Aktivieren des Protokollsammlers hinter einem Proxy

Wenn Sie hinter einem Proxy ausgeführt werden, hat der Protokollsammler möglicherweise Probleme beim Senden von Daten an Defender for Cloud Apps. Dies kann beispielsweise der Fall sein, weil der Protokollsammler der Stammzertifizierungsstelle des Proxys nicht vertraut und keine Verbindung mit Microsoft Defender for Cloud Apps herstellen kann, um die Konfiguration abzurufen oder die empfangenen Protokolle hochzuladen.

In den folgenden Verfahren wird beschrieben, wie Sie Ihren Protokollsammler hinter einem Proxy aktivieren.

Tipp

Sie können auch die Zertifikate ändern, die vom Protokollsammler für Syslog oder FTP verwendet werden, oder Konnektivitätsprobleme von den Firewalls und Proxys in den Protokollsammler beheben. Weitere Informationen finden Sie unter Ändern der FTP-Konfiguration des Protokollsammlers.

Einrichten des Protokollsammlers hinter einem Proxy

Stellen Sie sicher, dass Sie die erforderlichen Schritte zum Ausführen von Docker auf einem Windows- oder Linux-Computer ausgeführt und das Defender for Cloud Apps Docker-Image erfolgreich auf Ihren Hostcomputer heruntergeladen haben.

Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte.

Überprüfen der Erstellung von Docker-Protokollsammlercontainern

Vergewissern Sie sich, dass der Container erstellt wurde und ausgeführt wird. Führen Sie in der Shell Folgendes aus:

docker ps

Es sollte etwas ähnliches wie die folgende Ausgabe angezeigt werden:

Screenshot des ausgeführten Docker-Containers.

Kopieren des Proxy-Stammzertifizierungsstellenzertifikats in den Container

Kopieren Sie von Ihrem virtuellen Computer das Zertifizierungsstellenzertifikat in den Defender for Cloud Apps Container. Im folgenden Beispiel hat der Container den Namen Ubuntu-LogCollector und das Zertifizierungsstellenzertifikat den Namen Proxy-CA.crt.

Der folgende Befehl kopiert das Zertifikat in einen Ordner im ausgeführten Container. Führen Sie den Befehl auf dem Ubuntu-Host aus:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Festlegen der Konfiguration für die Verwendung mit dem Zertifizierungsstellenzertifikat

  1. Wechseln Sie in den Container. Führen Sie den folgenden Befehl aus, um Bash im Protokollsammlercontainer zu öffnen:

    docker exec -it Ubuntu-LogCollector /bin/bash

  2. Wechseln Sie in einem Bash-Fenster innerhalb des Containers zum Ordner Java jre . Verwenden Sie den folgenden Befehl, um einen versionsbezogenen Pfadfehler zu vermeiden:

    cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
cd bin

  3. Importieren Sie das Zuvor kopierte Stammzertifikat aus dem Discovery-Ordner in den Java KeyStore, und definieren Sie ein Kennwort.

    Das Standardkennwort ist changeit. Weitere Informationen finden Sie unter Ändern des Java KeyStore-Kennworts.

    ./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>

  4. Vergewissern Sie sich, dass das Zertifikat ordnungsgemäß in den Schlüsselspeicher der Zertifizierungsstelle importiert wurde. Führen Sie den folgenden Befehl aus, um nach dem Alias zu suchen, den Sie beim Import angegeben haben (SelfSignedCert):

    ./keytool --list --keystore ../lib/security/cacerts | grep self

Ihr importiertes Proxy-ZS-Zertifikat wird angezeigt.

Einschränken von IP-Adressen, die Syslog-Nachrichten an den Protokollsammler unter Linux senden

Um das Docker-Image zu schützen und sicherzustellen, dass nur eine IP-Adresse die Syslog-Nachrichten an den Protokollsammler senden darf, erstellen Sie eine IP-Tabellenregel auf dem Hostcomputer, um Eingabedatenverkehr zuzulassen und den datenverkehrsabhängigen Datenverkehr über bestimmte Ports wie TCP/601 oder UDP/514 zu löschen.

Der folgende Befehl zeigt ein Beispiel für das Erstellen einer IP-Tabellenregel, die dem Hostcomputer hinzugefügt werden kann. Diese Tabellenregel ermöglicht es der IP-Adresse "1.2.3.4", über TCP-Port 601 eine Verbindung mit dem Protokollsammlercontainer herzustellen und alle anderen Verbindungen von anderen IP-Adressen über denselben Port zu löschen.

iptables -I DOCKER-USER \! --src 1.2.3.4 -m tcp -p tcp --dport 601 -j DROP

Festlegen des Protokollsammlers für die Ausführung mit der neuen Konfiguration

Der Container ist jetzt bereit.

Führen Sie den Befehl collector_config mithilfe des API-Tokens aus, das Sie bei der Erstellung Ihres Protokollsammlers verwendet haben. Zum Beispiel:

Screenshot des Dialogfelds

Wenn Sie den Befehl ausführen, geben Sie Ihr eigenes API-Token an, z. B. collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

Zum Beispiel:

Screenshot eines Beispiels für ein Konfigurationsupdate.

Der Protokollsammler kann jetzt mit Defender for Cloud Apps kommunizieren. Nach dem Senden von Daten an Defender for Cloud Apps ändert sich die status des Protokollsammlers von Fehlerfrei in Verbunden. Zum Beispiel:

Screenshot des upload-status.

Hinweis

Wenn Sie die Konfiguration des Protokollsammlers aktualisieren müssen, um z. B. eine Datenquelle hinzuzufügen oder zu entfernen, müssen Sie normalerweise den Container löschen und die vorherigen Schritte erneut ausführen.

Um dies zu vermeiden, können Sie das collector_config Tool mit dem neuen API-Token erneut ausführen, das im Defender for Cloud Apps-Portal generiert wurde.

Ändern des Java KeyStore-Kennworts

  1. Beenden Sie den Java KeyStore-Server.

  2. Öffnen Sie eine Bash-Shell im Container, und wechseln Sie zum Ordner appdata/conf .

  3. Führen Sie Folgendes aus, um das KeyStore-Kennwort des Servers zu ändern:

    keytool -storepasswd -new newStorePassword -keystore server.keystore
-storepass changeit

    Das Standard-Serverkennwort lautet changeit.

  4. Führen Sie Folgendes aus, um das Zertifikatkennwort zu ändern:

    keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword

    Der Standard-Serveralias ist Server.

  5. Öffnen Sie in einem Text-Editor die Datei server-install\conf\server\secured-installed.properties . Fügen Sie die folgenden Codezeilen hinzu, und speichern Sie dann die Änderungen:

    1. Geben Sie das neue Java KeyStore-Kennwort für den Server an: server.keystore.password=newStorePassword
    2. Geben Sie das neue Zertifikatkennwort für den Server an: server.key.password=newKeyPassword

  6. Starten Sie den Server.

Verschieben des Protokollsammlers in eine andere Datenpartition unter Linux

Viele Unternehmen müssen Daten in eine separate Partition verschieben. In diesem Verfahren wird beschrieben, wie Sie Ihre Defender for Cloud Apps Docker-Protokollsammlerimages in eine Datenpartition auf Ihrem Linux-Host verschieben.

In diesem Verfahren wird das Verschieben von Daten in eine Partition namens Datenspeicher beschrieben, und es wird davon ausgegangen, dass Sie die Partition bereits eingebunden haben. Zum Beispiel:

Liste der Linux-Partitionen.

Das Hinzufügen und Konfigurieren einer neuen Partition auf Ihrem Linux-Host gehört nicht zum Geltungsbereich dieses Leitfadens.

So verschieben Sie Ihren Protokollsammler in eine andere Partition:

  1. Beenden Sie den Docker-Dienst. Laufen:

    service docker stop

  2. Verschieben Sie die Protokollsammlerdaten in die neue Partition. Laufen:

    mv /var/lib/docker /datastore/docker

  3. Entfernen Sie das alte Docker-Speicherverzeichnis (/var/lib/docker), und erstellen Sie eine symbolische Verknüpfung mit dem neuen Verzeichnis (/datastore/docker). Laufen:

    rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/

  4. Starten Sie den Docker-Dienst. Laufen:

    service docker start

  5. Überprüfen Sie optional die status Ihres Protokollsammlers. Laufen:

    docker ps

Untersuchen der Datenträgernutzung des Protokollsammlers unter Linux

In diesem Verfahren wird beschrieben, wie Sie die Verwendung und den Speicherort Ihres Protokollsammlerdatenträgers überprüfen.

  1. Identifizieren Sie den Pfad zu dem Verzeichnis, in dem die Protokollsammlerdaten gespeichert sind. Laufen:

    docker inspect <collector_name> | grep WorkDir

    Zum Beispiel:

    Screenshot: Identifizieren des Protokollsammlerverzeichnisses

  2. Rufen Sie die Größe auf dem Datenträger des Protokollsammlers mithilfe des angegebenen Pfads ohne das Suffix "/work" ab. Laufen:

    du -sh /var/lib/docker/overlay2/<log_collector_id>/

    Screenshot: Identifizieren der Protokollsammlergröße auf dem Datenträger

    Hinweis

    Wenn Sie nur die Größe auf dem Datenträger kennen müssen, können Sie stattdessen den folgenden Befehl verwenden: docker ps -s

Verschieben des Protokollsammlers auf einen zugänglichen Host

In regulierten Umgebungen kann der Zugriff auf Docker Hubs, in denen das Protokollsammlerimage gehostet wird, blockiert werden. Dadurch wird verhindert, dass Defender for Cloud Apps die Daten aus dem Protokollsammler importieren, und das Verschieben des Protokollsammlerbilds auf einen zugänglichen Host kann aufgelöst werden.

In diesem Verfahren wird beschrieben, wie Sie das Protokollsammlerimage mithilfe eines Computers herunterladen, der Zugriff auf Docker Hub hat, und es auf Ihren Zielhost importieren.

Das heruntergeladene Image kann entweder in Ihrem privaten Repository oder direkt auf Ihrem Host importiert werden. In diesem Verfahren wird beschrieben, wie Sie Ihr Protokollsammlerimage auf Ihren Windows-Computer herunterladen und dann WinSCP verwenden, um den Protokollsammler auf Ihren Zielhost zu verschieben.

Voraussetzungen

  1. Stellen Sie sicher, dass Docker auf Ihrem Host installiert ist. Verwenden Sie beispielsweise einen der folgenden Downloads:

  2. Verwenden Sie nach dem Download die Offlineinstallationsanleitung von Docker, um Ihr Betriebssystem zu installieren.

    Starten Sie den Prozess, indem Sie das Protokollsammlerimage exportieren und dann das Image auf Ihren Zielhost importieren.

Exportieren sie das Protokollsammlerimage aus Ihrem Docker Hub

In den folgenden Verfahren wird beschrieben, wie Sie das Protokollsammlerimage mithilfe von Linux oder Windows exportieren.

Exportieren des Images unter Linux

  1. Führen Sie auf einem Linux-Computer, der Zugriff auf die Docker Hub hat, den folgenden Befehl aus, um Docker zu installieren und das Protokollsammlerimage herunterzuladen.

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh

  2. Exportieren Sie das Protokollsammlerimage. Laufen:

    docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
chmod +r /tmp/mcasLC.tar

    Wichtig

    Stellen Sie sicher, dass Sie den Ausgabeparameter verwenden, um in eine Datei anstelle von STDOUT zu schreiben.

  3. Laden Sie das Protokollsammlerimage unter C:\mcasLogCollector\ Verwendung von WinSCP auf Ihren Windows-Computer herunter. Zum Beispiel:

    Screenshot: Herunterladen des Protokollsammlers auf einen Windows-Computer

Exportieren des Images unter Windows

  1. Installieren Sie Docker Desktop auf einem Windows 10 Computer, der Zugriff auf die Docker Hub hat.

  2. Laden Sie das Protokollsammlerimage herunter. Laufen:

    docker login -u caslogcollector -p C0llector3nthusiast
docker pull mcr.microsoft.com/mcas/logcollector

  3. Exportieren Sie das Protokollsammlerimage. Laufen:

    docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector

    Wichtig

    Stellen Sie sicher, dass Sie den Ausgabeparameter verwenden, um in eine Datei anstelle von STDOUT zu schreiben.

Importieren und Laden des Protokollsammlerimages auf Ihren Zielhost

In diesem Verfahren wird beschrieben, wie Sie das exportierte Image auf Ihren Zielhost übertragen.

  1. Laden Sie das Protokollsammlerimage unter auf Ihren Zielhost hoch /tmp/. Zum Beispiel:

    Screenshot: Hochladen des Protokollsammlers auf den Zielhost

  2. Importieren Sie auf dem Zielhost das Protokollsammlerimage in das Docker-Imagesrepository. Laufen:

    docker load --input /tmp/mcasLC.tar

    Zum Beispiel:

    Screenshot: Importieren des Protokollsammlerimages in das Docker-Repository

  3. Überprüfen Sie optional, ob der Import erfolgreich abgeschlossen wurde. Laufen:

    docker image ls

    Zum Beispiel:

    Screenshot: Überprüfen, ob der Import des Protokollsammlers erfolgreich war

    Sie können nun mit der Erstellung Ihres Protokollsammlers fortfahren, indem Sie das Image vom Zielhost verwenden.

Definieren benutzerdefinierter Ports für Syslog- und FTP-Empfänger für Protokollsammler unter Linux

Einige Organisationen müssen benutzerdefinierte Ports für Syslog- und FTP-Dienste definieren.

Wenn Sie eine Datenquelle hinzufügen, verwenden Defender for Cloud Apps Protokollsammler bestimmte Portnummern, um auf Datenverkehrsprotokolle aus einer oder mehreren Datenquellen zu lauschen.

In der folgenden Tabelle sind die Standard-Überwachungsports für Empfänger aufgeführt:

Empfängertyp Ports
Syslog * UDP/514 - UDP/51x
* TCP/601 - TCP/60x
FTP * TCP/21

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Ports zu definieren:

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

  2. Wählen Sie unter Cloud Discoverydie Option Automatischer Protokollupload aus. Wählen Sie dann die Registerkarte Protokollsammler aus .

  3. Fügen Sie auf der Registerkarte Protokollsammler einen Protokollsammler hinzu, oder bearbeiten Sie einen Protokollsammler, und kopieren Sie nach dem Aktualisieren der Datenquellen den Befehl ausführen aus dem Dialogfeld. Zum Beispiel:

    Befehl zum Kopieren der Ausführung aus dem Protokollsammler-Assistenten.

    Bei Verwendung wie angegeben konfiguriert der vom Assistenten bereitgestellte Befehl den Protokollsammler so, dass die Ports 514/udp und 515/udp verwendet werden. Zum Beispiel:

    (echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Zum Beispiel:

    Screenshot des Befehls, der über den Protokollsammler-Assistenten ausgeführt wird.

  4. Bevor Sie den Befehl auf Ihrem Hostcomputer verwenden, ändern Sie den Befehl so, dass ihre benutzerdefinierten Ports verwendet werden. Um beispielsweise den Protokollsammler für die Verwendung der UDP-Ports 414 und 415 zu konfigurieren, ändern Sie den Befehl wie folgt:

    (echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Zum Beispiel:

    Screenshot eines benutzerdefinierten Ausführungsbefehls.

    Hinweis

    Nur die Docker-Zuordnung wird geändert. Die intern zugewiesenen Ports werden nicht geändert, sodass Sie einen beliebigen Lauschport auf dem Host auswählen können.

Überprüfen des vom Protokollsammler unter Linux empfangenen Datenverkehrs und Protokollformats

Gelegentlich müssen Sie u. U. folgende Probleme untersuchen:

  • Protokollsammler empfangen Daten: Überprüfen Sie, ob Protokollsammler Syslog-Nachrichten von Ihren Appliances empfangen und nicht durch Firewalls blockiert werden.
  • Empfangene Daten im richtigen Protokollformat: Überprüfen Sie das Protokollformat, um Analysefehler zu beheben, indem Sie das von Defender for Cloud Apps erwartete Protokollformat mit dem von Ihrem Anwendung gesendeten Protokollformat vergleichen.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Datenverkehr von Protokollsammlern empfangen wird:

  1. Melden Sie sich bei Ihrem Server an, auf dem der Docker-Container gehostet wird.

  2. Überprüfen Sie mithilfe einer der folgenden Methoden, ob der Protokollsammler Syslog-Nachrichten empfängt:

    • Verwenden Sie tcpdump oder einen ähnlichen Befehl, um den Netzwerkdatenverkehr an Port 514 zu analysieren:

      tcpdump -Als0 port 514

      Wenn alles ordnungsgemäß konfiguriert ist, sollte Netzwerkdatenverkehr von Ihren Appliances angezeigt werden. Zum Beispiel:

      Screenshot der Analyse des Netzwerkdatenverkehrs über tcpdump.

    • Verwenden Sie netcat oder einen ähnlichen Befehl, um den Netzwerkdatenverkehr auf dem Hostcomputer zu analysieren:

      1. Installieren Sie netcat und wget.

      2. Laden Sie eine Beispielprotokolldatei aus Microsoft Defender XDR herunter. Entpacken Sie bei Bedarf die Protokolldatei.

        1. Wählen Sie Microsoft Defender XDR unter Cloud-Appsdie Option CloudDiscovery-Aktionen>>Cloud Discovery Momentaufnahme Bericht erstellen aus.

        2. Wählen Sie die Datenquelle aus, aus der Sie die Protokolldateien hochladen möchten.

        3. Wählen Sie Anzeigen aus, und überprüfen Sie , klicken Sie dann mit der rechten Maustaste auf Beispielprotokoll herunterladen , und kopieren Sie den Url-Adresslink.

        4. Wählen Sie Schließen>Abbrechen aus.

      3. Laufen:

        wget <URL_address_to_sample_log>

      4. Führen Sie aus netcat , um die Daten an den Protokollsammler zu streamen.

        cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>

      Wenn der Collector ordnungsgemäß konfiguriert ist, sind die Protokolldaten in der Nachrichtendatei vorhanden und werden kurz danach in das Defender for Cloud Apps-Portal hochgeladen.

    • Überprüfen Sie relevante Dateien im Defender for Cloud Apps Docker-Container:

      1. Melden Sie sich beim Container an. Laufen:

        docker exec -it <Container Name> bash

      2. Ermitteln Sie, ob Syslog-Nachrichten in die Nachrichtendatei geschrieben werden. Laufen:

        cat /var/adallom/syslog/<your_log_collector_port>/messages

      Wenn alles ordnungsgemäß konfiguriert ist, sollte Netzwerkdatenverkehr von Ihren Appliances angezeigt werden. Zum Beispiel:

      Screenshot der Analyse des Datenverkehrs mithilfe des Cat-Befehls.

      Hinweis

      Diese Datei wird weiterhin in geschrieben, bis sie eine Größe von 40 KB erreicht. Zum Beispiel:

  3. Überprüfen Sie die Protokolle, die in Defender for Cloud Apps im /var/adallom/discoverylogsbackup Verzeichnis hochgeladen wurden. Zum Beispiel:

    Überprüfen Sie hochgeladene Protokolldateien.

  4. Überprüfen Sie das vom Protokollsammler empfangene Protokollformat, indem Sie die in /var/adallom/discoverylogsbackup gespeicherten Nachrichten mit dem Beispielprotokollformat vergleichen, das im Defender for Cloud Apps Assistenten zum Erstellen von Protokollsammlungen bereitgestellt wird.

Schreiben der Ausgabe der Nachrichtendatei in eine lokale Datei

Wenn Sie Ihr eigenes Beispielprotokoll verwenden möchten, aber keinen Zugriff auf das Anwendung haben, verwenden Sie die folgenden Befehle, um die Ausgabe der Nachrichtendatei, die sich im Syslog-Verzeichnis des Protokollsammlers befindet, in eine lokale Datei auf dem Host zu schreiben:

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Vergleichen Sie die Ausgabedatei (/tmp/log.log) mit den im Verzeichnis gespeicherten /var/adallom/discoverylogsbackup Nachrichten.

Aktualisieren der Protokollsammlerversion

Wenn Sie Ihren Protokollsammler aktualisieren:

  • Stellen Sie vor der Installation der neuen Version sicher, dass Sie Ihren Protokollsammler beenden und das aktuelle Image entfernen.
  • Aktualisieren Sie nach der Installation der neuen VersionIhre Zertifikatdateien.

Nächste Schritte

Bereitstellen von Cloud Discovery

Benutzeraktivitätsrichtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.