Problembehandlung bei Cloud Discovery-Fehlern
Dieser Artikel enthält eine Liste der Cloud Discovery-Fehler und Lösungsempfehlungen für jeden Einzelnen.
Auch nach der Einrichtung der Ermittlung können Kunden das Betriebssystem weiter härten, um Compliancestandards zu erfüllen. Diese Aktion kann jedoch zu Störungen des Containerisierungsdiensts selbst führen.
Integration von Microsoft Defender für Endpunkt
Wenn Sie Microsoft Defender for Endpoint in Defender for Cloud Apps integriert haben und die Ergebnisse der Integration nicht angezeigt werden.
| Problem | Lösung |
|---|---|
| Berichte zu von Defender verwalteten Endpunkten werden nicht in der Liste angezeigt. | Stellen Sie sicher, dass die Geräte, mit denen Sie eine Verbindung herstellen, Windows 10 Version 1809 oder höher sind und dass Sie die erforderlichen zwei Stunden gewartet haben, bis auf Ihre Daten zugegriffen werden kann. |
| Ermittlungsberichte sind leer | Wenn sich das Endpunktgerät hinter einem Weiterleitungsproxy befindet, können Sie Protokolle von Ihrem Weiterleitungsproxy mithilfe eines Protokollsammlers senden. |
Protokollanalysefehler
Sie können die Verarbeitung von Cloud Discovery-Protokollen mithilfe des Governanceprotokolls nachverfolgen. Dieser Artikel enthält Lösungsaktionen, die für jeden Fehler ausgeführt werden müssen, der dort angezeigt werden kann.
Governanceprotokollfehler
| Fehler | Beschreibung | Lösung |
|---|---|---|
| Nicht unterstützter Dateityp | Die hochgeladene Datei ist keine gültige Protokolldatei, sondern beispielsweise eine Bilddatei. | Laden Sie eine Text-, ZIP- oder GZIP-Datei hoch, die direkt aus Ihrer Firewall oder Ihrem Proxy exportiert wurde. |
| Das Protokollformat stimmt nicht überein | Das Protokollformat, das Sie hochgeladen haben, stimmte nicht dem erwarteten Protokollformat für diese Datenquelle überein. | 1. Stellen Sie sicher, dass das Protokoll nicht beschädigt ist. 2. Vergleichen Sie das Format der Protokolldatei mit dem Beispielformat auf der Uploadseite, und passen Sie es entsprechend an. |
| Transaktionen sind älter als 90 Tage | Alle Transaktionen sind älter als 90 Tage und werden ignoriert. | Exportieren Sie ein neues Protokoll mit jüngeren Ereignissen, und laden Sie dieses hoch. |
| Keine Transaktionen mit katalogisierten Cloud-Apps | Im Protokoll wurden keine Transaktionen mit einer der erkannten Cloud-Apps gefunden. | Stellen Sie sicher, dass das Protokoll Informationen zum ausgehenden Datenverkehr enthält. |
| Nicht unterstützter Protokolltyp | Bei der Auswahl von Datenquelle = Sonstige (nicht unterstützt) wird das Protokoll nicht analysiert. Stattdessen wird es zur Überprüfung an das Defender for Cloud Apps technische Team gesendet. | Das Defender for Cloud Apps technische Team erstellt einen dedizierten Parser für jede Datenquelle. Die meisten gängigen Datenquellen werden bereits unterstützt. Wird eine nicht unterstützte Datenquelle hochgeladen, wird sie überprüft und der Pipeline für neue Datenquellenparser hinzugefügt. Neue Parserbenachrichtigungen werden als Teil der Defender for Cloud Apps Versionshinweise veröffentlicht. |
Protokollsammlerfehler
| Problem | Lösung |
|---|---|
| Es konnte keine Verbindung mit dem Protokollsammler über FTP hergestellt werden. | 1. Stellen Sie sicher, dass Sie FTP-Anmeldeinformationen und keine SSH-Anmeldeinformationen verwenden. 2. Stellen Sie sicher, dass der verwendete FTP-Client nicht auf SFTP (Secure File Transfer Protocol) festgelegt ist. |
| Fehler beim Aktualisieren der Collectorkonfiguration | 1. Stellen Sie sicher, dass Sie das neueste Zugriffstoken eingegeben haben. 2. Überprüfen Sie in Ihrer Firewall, ob der Protokollsammler ausgehenden Datenverkehr an Port 443 initiieren darf. |
| An den Collector gesendete Protokolle werden nicht im Portal angezeigt. | 1. Überprüfen Sie, ob im Governanceprotokoll fehlgeschlagene Analysevorgänge aufgeführt sind. Wenn ja, beheben Sie den Fehler mit der obigen Tabelle Protokollanalysefehler. 2. Falls nicht, überprüfen Sie die Datenquellen und die Konfiguration des Protokollsammlers im Portal. a. Vergewissern Sie sich auf der Seite Datenquelle, dass der Name der Datenquelle NSS ist und dass sie ordnungsgemäß konfiguriert ist. b. Überprüfen Sie auf der Seite Protokollsammler, ob die Datenquelle mit dem richtigen Protokollsammler verknüpft ist. 3. Überprüfen Sie die lokale Konfiguration des lokalen Protokollsammlercomputers. a. Melden Sie sich über SSH beim Protokollsammler an, und führen Sie das Hilfsprogramm collector_config aus. b. Vergewissern Sie sich, dass Ihre Firewall oder Ihr Proxy Protokolle mithilfe des von Ihnen definierten Protokolls (Syslog/TCP, Syslog/UDP oder FTP) an den Protokollsammler sendet und sie an den richtigen Port und das richtige Verzeichnis sendet. c. Führen Sie netstat auf dem Computer aus, und überprüfen Sie, ob eingehende Verbindungen von Ihrer Firewall oder Ihrem Proxy empfangen werden. 4. Überprüfen Sie, ob der Protokollsammler ausgehenden Datenverkehr an Port 443 initiieren darf. |
| Protokollsammler status: Erstellt | Die Bereitstellung des Protokollsammlers wurde nicht abgeschlossen. Führen Sie die Schritte zur lokalen Bereitstellung wie im Bereitstellungsleitfaden beschrieben aus. |
| Protokollsammler status: Getrennt | Wenn dieses Problem angezeigt wird, bedeutet dies, dass in den letzten 24 Stunden keine Daten aus einer der verknüpften Datenquellen empfangen wurden. Wenden Sie sich an Microsoft Defender for Cloud Apps Support, und stellen Sie die Protokolldateien zur Untersuchung bereit. Unser Team analysiert die Protokolle, um zu ermitteln, wann die letzte Synchronisierung stattgefunden hat und was die Trennung verursacht hat. |
| Fehler beim Pullen des neuesten Collectorimages | Wenn dieser Fehler während der Docker-Bereitstellung auftritt, ist möglicherweise nicht genügend Arbeitsspeicher auf dem Host vorhanden. Führen Sie den folgenden Befehl auf dem Host aus, um dies zu überprüfen: docker pull mcr.microsoft.com/mcas/logcollector. Wenn dieser Fehler zurückgegeben wird, failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device wenden Sie sich an den Hostcomputeradministrator, um mehr Speicherplatz bereitzustellen. |
Discovery-Dashboard-Fehler
| Problem | Lösung |
|---|---|
| Ermittlungsdaten wurden hochgeladen und erfolgreich analysiert, aber die Cloud Discovery-Dashboard sieht leer aus. | Das Dashboard wird möglicherweise nach Daten gefiltert, über die Ihre Protokolle nicht verfügen, sodass keine Daten angezeigt werden können. Versuchen Sie, die Filter im Cloud Discovery-Dashboard zu ändern, um verschiedene Datentypen anzuzeigen, um die Ergebnisse anzuzeigen. |
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.