Freigeben über


Verwenden eines benutzerdefinierten Protokollparsers

Defender for Cloud Apps können Sie einen benutzerdefinierten Parser konfigurieren, um das Format Ihrer Protokolle abzugleichen und zu verarbeiten, damit sie für die Cloudermittlung verwendet werden können. In der Regel verwenden Sie einen benutzerdefinierten Parser, wenn die Firewall oder das Gerät nicht explizit von Defender for Cloud Apps unterstützt wird. Dies kann ein CSV-Parser oder ein benutzerdefinierter Schlüsselwertparser sein.

Mit dem benutzerdefinierten Parser können Sie Protokolle von nicht unterstützten Firewalls verwenden, indem Sie diesen Prozess ausführen.

So konfigurieren Sie einen benutzerdefinierten Parser:

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Cloud Discovery-Aktionen>>Cloud Discovery Momentaufnahme Bericht erstellen aus. Zum Beispiel:

    Screenshot der Option

  2. Geben Sie einen Berichtsnamen und eine Beschreibung ein.

  3. Scrollen Sie unter Quelle ganz nach unten, und wählen Sie Benutzerdefiniertes Protokollformat... aus. Zum Beispiel:

    Screenshot des Dialogfelds

  4. Sammeln Sie Protokolle von Ihrer Firewall und Ihrem Proxy, über die Benutzer in Ihrem organization auf das Internet zugreifen. Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

  5. Öffnen Sie die Protokolle, die Sie in einem Text-Editor verarbeiten möchten. Überprüfen Sie das Format, und stellen Sie sicher, dass die Spaltennamen im Protokoll den Feldern im Dialogfeld Benutzerdefiniertes Protokollformat entsprechen.

    Erforderliche Felder sind im Dialogfeld Benutzerdefiniertes Protokollformat mit einem Sternchen (*) gekennzeichnet und müssen in den Protokollen in derselben Reihenfolge vorhanden sein, die im Dialogfeld Benutzerdefiniertes Protokollformat angezeigt wird. Protokolle werden nur verarbeitet, wenn die erforderlichen Felder im Protokoll gefunden werden. Zusätzliche Felder, die nicht von Defender for Cloud Apps verwendet werden, werden verworfen.

  6. Füllen Sie im Dialogfeld Benutzerdefiniertes Protokollformat die Felder basierend auf Ihren Daten aus, um zu definieren, welche Spalten in den Daten mit bestimmten Feldern in Defender for Cloud Apps korrelieren. Möglicherweise müssen Sie spaltennamen in Ihrer Protokolldatei ändern, um sie ordnungsgemäß zu korrelieren.

    Hinweis

    Bei den Feldern wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass Sie die Namen der Spalten in Defender for Cloud Apps und in der Protokolldatei identisch schreiben und eingeben. Stellen Sie außerdem sicher, dass das von Ihnen gewählte Datumsformat identisch ist.

    Die folgenden Abbildungen zeigen z. B. eine Beispielprotokolldatei, die in einem Text-Editor geöffnet wurde, und das entsprechende Dialogfeld "Benutzerdefiniertes Protokollformat ", aufgefüllt.

    Screenshot einer Protokolldatei, die in einem Text-Editor geöffnet wurde.

    Screenshot des Dialogfelds

  7. Klicken Sie auf Speichern. Das von Ihnen konfigurierte benutzerdefinierte Protokollformat wird als benutzerdefinierter Standardparser gespeichert. Sie können es jederzeit bearbeiten, indem Sie Auf Bearbeiten klicken.

  8. Wählen Sie unter Datenverkehrsprotokolle hochladen die Protokolldatei aus, die Sie geändert haben, und wählen Sie Protokolle hochladen aus, um sie hochzuladen. Sie können bis zu 20 Dateien gleichzeitig hochladen. Komprimierte und gezippte Dateien werden ebenfalls unterstützt.

Nach Abschluss des Uploads wird in der oberen rechten Ecke des Bildschirms eine status Meldung angezeigt, in der Sie darüber informiert werden, dass Ihr Protokoll erfolgreich hochgeladen wurde.

Es dauert einige Zeit, bis Ihre Protokolle analysiert und analysiert werden. Ein Benachrichtigungsbanner wird in der status-Leiste oben auf der Registerkarte Cloud Discovery-Dashboard > angezeigt, in der die Verarbeitung status Ihrer Protokolldateien angezeigt wird. Zum Beispiel:

Screenshot einer Menüleiste für die Verarbeitungsprotokolldatei.

Wenn die Verarbeitung Ihrer Protokolldateien abgeschlossen ist, erhalten Sie eine E-Mail, in der Sie darüber informiert werden, dass dies abgeschlossen ist.

Zeigen Sie den Bericht entweder an, indem Sie auf den Link in der status leiste klicken, oder wählen Sie Einstellungen>Cloud-Apps> CloudDiscovery-Momentaufnahmeberichte> aus. Wählen Sie Ihren Momentaufnahme Bericht aus, um ihn zu öffnen. Zum Beispiel:

Screenshot: Seite

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.