Jaa

Käytä mukautettua loki jäsennintä

  • Artikkeli

Defender for Cloud Apps avulla voit määrittää mukautetun jäsentimen vastaamaan lokien muotoa ja käsittelemään ne niin, että niitä voidaan käyttää pilvitietojen etsimiseen. Yleensä käytät mukautettua jäsennintä, jos Defender for Cloud Apps ei nimenomaisesti tue palomuuria tai laitetta. Tämä voi olla CSV-jäsennin tai mukautetun avaimen arvon jäsennin.

Mukautetun jäsentimen avulla voit käyttää lokeja palomuurista, jota ei tueta, noudattamalla tätä prosessia.

Mukautetun jäsentimen määrittäminen:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaCloud Discovery>Actions>Create Cloud Discovery -tilannevedosraportti. Esimerkki:

    Näyttökuva Luo uusi tilannevedosraportti -vaihtoehdosta.

  2. Kirjoita raportin nimi ja kuvaus

  3. Vieritä Lähde-kohdassa alaspäin ja valitse Mukautettu lokimuoto... Esimerkiksi:

    Näyttökuva Luo uusi pilvietsintä -tilannevedosraportin valintaikkunasta.

  4. Kerää lokeja palomuuristasi ja välityspalvelimestasi, joiden kautta organisaatiosi käyttäjät käyttävät Internetiä. Muista kerätä ruuhka-aikoina lokeja, jotka edustavat kaikkea käyttäjän toimintaa organisaatiossasi.

  5. Avaa käsiteltävät lokit tekstieditorissa. Tarkista niiden muoto ja varmista, että lokin sarakkeiden nimet vastaavat Mukautetun lokin muoto -valintaikkunan kenttiä.

    Pakolliset kentät on merkitty Mukautettu lokimuoto -valintaikkunassa tähdellä (*), ja ne on esitettävä lokeissa samassa järjestyksessä kuin Mukautettu lokimuoto -valintaikkunassa. Lokit käsitellään vain, jos tarvittavat kentät löytyvät lokista. Ylimääräiset kentät, joita ei käytetä Defender for Cloud Apps, hylätään.

  6. Täytä Mukautettu lokimuoto -valintaikkunassa tietoihisi perustuvat kentät ja määritä, mitkä tietojen sarakkeet korreloivat tiettyihin Defender for Cloud Apps kenttiin. Saatat joutua muokkaamaan lokitiedoston sarakkeiden nimiä, jotta ne korreloivat oikein.

    Huomautus

    Kentissä kirjainkoko on merkitsevä. Varmista, että kirjoitat sarakkeiden nimet samalla tavalla Defender for Cloud Apps ja lokitiedostoon. Varmista myös, että valitsemasi päivämäärämuoto on identtinen.

    Esimerkiksi seuraavissa kuvissa näkyy mallilokitiedosto, joka on avattu tekstieditorissa, ja vastaava Mukautettu lokimuoto -valintaikkuna täyttyy.

    Näyttökuva tekstieditorissa avatusta lokitiedostosta.

    Näyttökuva Mukautetun lokin muoto -valintaikkunasta, jossa on täytetyt arvot.

  7. Valitse Tallenna. Määrittämäsi mukautettu lokimuoto tallennetaan oletusjäsentimenä. Voit muokata sitä milloin tahansa valitsemalla Muokkaa.

  8. Valitse Lataa liikennelokit -kohdasta muokkaamasi lokitiedosto ja lataa se palvelimeen valitsemalla Lataa lokit . Voit ladata enintään 20 tiedostoa kerrallaan. Myös pakattuja ja pakattuja tiedostoja tuetaan.

Kun lataus on valmis, näytön oikeassa yläkulmassa näkyy tilasanoma, jossa kerrotaan, että lokin lataaminen onnistui.

Lokien jäsentäminen ja analysointi kestää jonkin aikaa. Pilvipalvelun > etsinnän koontinäyttö -välilehden yläreunassa olevassa tilarivillä näkyy ilmoituspalkki, joka näyttää lokitiedostojesi käsittelytilan. Esimerkki:

Näyttökuva käsittelylokitiedoston valikkorivistä.

Kun lokitiedostojen käsittely on valmis, saat sähköpostiviestin, jossa ilmoitetaan, että se on valmis.

Voit tarkastella raporttia joko valitsemalla tilariviltä linkin tai valitsemalla Asetukset>Pilvisovellukset>Pilvietsintätilannevedosraportit>. Avaa tilannevedosraportti valitsemalla se. Esimerkki:

Näyttökuva Tilannevedosraportit-sivusta.

Seuraavat vaiheet

Luo tilannevedospilven etsintäraporteista

Määritä jatkuvalle raportille automaattinen lokin lataaminen

Pilvipalvelun etsintätietojen käsitteleminen

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.