Del via

Brug en brugerdefineret logparser

  • Artikel

Defender for Cloud Apps giver dig mulighed for at konfigurere en brugerdefineret fortolker, så den matcher og behandler formatet af dine logge, så de kan bruges til registrering i skyen. Du bruger typisk en brugerdefineret parser, hvis firewallen eller enheden ikke udtrykkeligt understøttes af Defender for Cloud Apps. Det kan være en CSV-parser eller en parser med en brugerdefineret nøgleværdi.

Med den brugerdefinerede parser kan du bruge logge fra firewalls, der ikke understøttes, ved at følge denne proces.

Sådan konfigurerer du en brugerdefineret parser:

  1. I Microsoft Defender-portalen under Cloud Apps skal du vælge Cloud Discovery>Actions>Create Cloud Discovery snapshot report. Det kan f.eks. være:

    Skærmbillede af indstillingen Opret nyt snapshot af rapport.

  2. Angiv et rapportnavn og en beskrivelse

  3. Under Kilde skal du rulle helt ned og vælge Brugerdefineret logformat.... For eksempel:

    Skærmbillede af dialogboksen Opret nyt øjebliksbillede af cloudregistrering.

  4. Indsaml logge fra din firewall og proxy, hvorigennem brugerne i organisationen får adgang til internettet. Sørg for at indsamle logge i perioder med spidsbelastningstrafik, der repræsenterer alle brugeraktiviteter i din organisation.

  5. Åbn de logfiler, du vil behandle i en teksteditor. Gennemse deres format, og sørg for, at kolonnenavnene i logfilen svarer til felterne i dialogboksen Brugerdefineret logformat .

    Obligatoriske felter er markeret i dialogboksen Brugerdefineret logformat med en stjerne (*), og de skal være til stede i loggene i samme rækkefølge som vist i dialogboksen Brugerdefineret logformat . Logge behandles kun, hvis de påkrævede felter findes i logfilen. Ekstra felter, der ikke bruges af Defender for Cloud Apps, kasseres.

  6. I dialogboksen Brugerdefineret logformat skal du udfylde felterne baseret på dine data for at afgrænse, hvilke kolonner i dataene der svarer til bestemte felter i Defender for Cloud Apps. Det kan være nødvendigt at ændre kolonnenavnene i logfilen for at korrelere korrekt.

    Bemærk!

    Der skelnes mellem store og små bogstaver i felterne. Sørg for at stave og skrive navnene på kolonnerne identisk i Defender for Cloud Apps og i logfilen. Sørg også for, at det valgte datoformat er identisk.

    Følgende billeder viser f.eks. en eksempellogfil, der er åbnet i en teksteditor, og den tilsvarende dialogboks Brugerdefineret logformat er udfyldt.

    Skærmbillede af en logfil, der er åbnet i en teksteditor.

    Skærmbillede af dialogboksen Brugerdefineret logformat med udfyldte værdier.

  7. Vælg Gem. Det brugerdefinerede logformat, du har konfigureret, gemmes som standardparser. Du kan når som helst redigere den ved at vælge Rediger.

  8. Under Overfør trafiklogge skal du vælge den logfil, du har ændret, og vælge Overfør logge for at uploade den. Du kan uploade op til 20 filer på én gang. Komprimerede og zip-komprimerede filer understøttes også.

Når overførslen er fuldført, vises der en statusmeddelelse i øverste højre hjørne af skærmen, hvor du kan se, at din log er blevet uploadet korrekt.

Det tager noget tid, før dine logge analyseres og analyseres. Der vises et meddelelsesbanner på statuslinjen øverst på fanen Cloud Discovery > Dashboard , hvor du kan se status for behandling af dine logfiler. Det kan f.eks. være:

Skærmbillede af en menulinje til behandling af logfiler.

Når behandlingen af dine logfiler er fuldført, modtager du en mail, hvor du får besked om, at den er færdig.

Få vist rapporten enten ved at vælge linket på statuslinjen, eller vælg Indstillinger>Cloud Apps>Cloud Discovery>Snapshot-rapporter. Vælg din snapshotrapport for at åbne den. Det kan f.eks. være:

Skærmbillede af siden Snapshot-rapporter.

Næste trin

Opret øjebliksbillede af cloudregistreringsrapporter

Konfigurer automatisk logoverførsel for fortløbende rapporter

Arbejde med registreringsdata i cloudmiljøet

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.