本文說明如何在 AKS) 上使用 Docker 容器設定Defender for Cloud Apps中連續報告Azure Kubernetes Service (自動上傳日誌。
注意事項
Microsoft Defender for Cloud Apps 現已成為 Microsoft Defender 全面偵測回應的一部分,該系統整合來自 Microsoft Defender 套件的訊號,並提供事件層級的偵測、調查及強大的回應能力。 更多資訊請參閱Microsoft Defender 全面偵測回應年Microsoft Defender for Cloud Apps。
安裝和設定
登入 Microsoft Defender 全面偵測回應,選擇設定 > 雲端應用 > 雲端發現 > 自動上傳日誌。
確保你在 「資料來源 」標籤中有定義資料來源。如果沒有,請選擇 新增資料來源 以新增資料來源。
選擇「 日誌收集器 」標籤,該標籤列出所有已部署在你租戶上的日誌收集器。
選擇 新增日誌收集器 連結。 接著,在 建立日誌收集器 對話框中輸入:
欄位 描述 名稱 根據日誌收集器使用的關鍵資訊,例如內部命名標準或地點位置,輸入有意義的名稱。 主機IP位址(FQDN) 輸入你的日誌收集器的主機或虛擬機 (虛擬機) IP 位址。 確保你的 syslog 服務或防火牆能存取你輸入的 IP 位址或 FQDN。 資料來源 () 選擇你想使用的資料來源。 如果你使用多個資料來源,選取的來源會套用到另一個埠口,讓日誌收集器能持續穩定地傳送資料。
例如,以下列表展示了資料來源與埠口組合的範例:
- 帕洛阿爾托:601
- 檢查點:602
- ZScaler:603選擇 「建立 」,可在螢幕上顯示針對你特定情況的進一步指示。
進入你的 AKS 叢集配置並執行:
kubectl config use-context <name of AKS cluster>請使用以下語法執行 helm 指令:
helm install <release-name> oci://mcr.microsoft.com/mcas/helmchart/logcollector-chart --version 1.0.5 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> -n <namespace>用設定收集器時使用的 docker 指令找到 helm 指令的值。 例如:
(echo <Generated ID>) | docker run --name SyslogTLStest
成功後,日誌顯示從 mcr.microsoft.com 拉取影像並持續為容器製作斑點。
相關內容
欲了解更多資訊,請參閱「設定自動日誌上傳以持續報告」。