Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP. Ogni log viene elaborato, compresso e trasmesso automaticamente al portale. I log FTP vengono caricati in Microsoft Defender for Cloud Apps dopo che il file ha completato il trasferimento FTP all'agente di raccolta log. Per i file SysLog, l'agente di raccolta log scrive i log ricevuti sul disco. L'agente di raccolta log carica quindi il file in Defender for Cloud Apps quando le dimensioni sono superiori a 40 KB.
Dopo il caricamento in Defender for Cloud Apps, il log viene spostato in una directory di backup. La directory di backup archivia gli ultimi 20 log. Quando arrivano nuovi log, i vecchi log vengono eliminati. Ogni volta che lo spazio su disco dell'agente di raccolta log è pieno, l'agente di raccolta log elimina i nuovi log fino a quando non dispone di più spazio disponibile su disco (questo non dovrebbe accadere se i prerequisiti vengono soddisfatti correttamente). Si riceverà un avviso nella scheda Agenti di raccolta log delle impostazioni carica automaticamente i log quando si verifica questo problema.
Prima di configurare la raccolta automatica dei file di log, verificare che il log corrisponda al tipo di log previsto. È consigliabile assicurarsi che Defender for Cloud Apps possa analizzare il file specifico. Per altre informazioni, vedere Uso dei log del traffico per l'individuazione cloud.
Nota
- Defender for Cloud Apps fornisce il supporto per l'inoltro dei log dal server SIEM all'agente di raccolta log, presupponendo che i log vengano inoltrati nel formato originale. È tuttavia consigliabile integrare l'agente di raccolta log direttamente con il firewall e/o il proxy.
- L'agente di raccolta log comprime i dati prima del caricamento. Il traffico in uscita nell'agente di raccolta log sarà pari al 10% delle dimensioni dei log del traffico ricevuti.
- Se l'agente di raccolta log rileva problemi, si riceverà un avviso dopo che i dati non sono stati ricevuti per 48 ore.
Prerequisiti
- Spazio su disco 250 GB
- Core CPU: 2
- Architettura DELLA CPU: Intel® 64 e AMD 64
- RAM: 4 GB
- Impostare il firewall come descritto in Requisiti di rete
Nota
Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:
docker stop <collector_name>
docker rm <collector_name>
Nota
Per installare una nuova versione dell'agente di raccolta log, è necessario arrestare l'agente di raccolta log, rimuovere l'immagine corrente e installare quella nuova.
Prestazioni dell'agente di raccolta log
L'agente di raccolta log può gestire correttamente la capacità del log fino a 50 GB all'ora. I colli di bottiglia principali nel processo di raccolta dei log sono:
- Larghezza di banda di rete: la larghezza di banda di rete determina la velocità di caricamento del log.
- Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log dispone di un meccanismo di sicurezza predefinito che monitora la frequenza di arrivo dei log e lo confronta con la frequenza di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare i file di log. Se l'installazione supera in genere 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.
Contenuto correlato
L'agente di raccolta log supporta la modalità di distribuzione contenitore . Per altre informazioni, vedere:
- Configurare il caricamento automatico dei log usando Docker locale in Windows
- Configurare il caricamento automatico dei log con Podman
- Configurare il caricamento automatico dei log con Docker in Azure
- Configurare il caricamento automatico dei log usando Docker in servizio Azure Kubernetes (servizio Azure Kubernetes)