Résolution des erreurs de découverte du cloud
Cet article fournit une liste des erreurs de découverte du cloud et des recommandations de résolution pour chacune d’elles.
Même une fois la découverte configurée, les clients peuvent continuer à renforcer le système d’exploitation afin de respecter les normes de conformité. Toutefois, cette action peut entraîner une interférence avec le service de conteneurisation lui-même.
Intégration de Microsoft Defender pour point de terminaison
Si vous avez intégré Microsoft Defender pour point de terminaison avec Defender for Cloud Apps et que vous ne voyez pas les résultats de l’intégration.
| Problème | Résolution |
|---|---|
| Les rapports de points de terminaison gérés par Defender n’apparaissent pas dans la liste | Assurez-vous que les appareils auxquels vous vous connectez sont Windows 10 version 1809 ou ultérieure, et que vous avez attendu les deux heures nécessaires avant que vos données soient accessibles. |
| Les rapports de découverte sont vides | Si l’appareil de point de terminaison se trouve derrière un proxy de transfert, vous pouvez envoyer des journaux à partir de votre proxy de transfert à l’aide d’un collecteur de journaux |
Erreurs d’analyse du journal
Vous pouvez suivre le traitement des journaux de découverte cloud à l’aide du journal de gouvernance. Cet article fournit des actions de résolution à effectuer pour chaque erreur qui peut y être affichée.
Erreurs du journal de gouvernance
| Erreur | Description | Résolution |
|---|---|---|
| Type de fichier non pris en charge | Le fichier chargé n’est pas un fichier journal valide (par exemple, un fichier image). | Chargez un fichier texte, zip ou gzip qui a été exporté directement à partir de votre pare-feu ou proxy. |
| Le format de journal ne correspond pas | Le format de journal que vous avez chargé ne correspond pas au format de journal attendu pour cette source de données. | 1. Vérifiez que le journal n’est pas endommagé. 2. Comparez et faites correspondre votre journal au format d’exemple indiqué dans la page de chargement. |
| Les transactions ont plus de 90 jours | Toutes les transactions datent de plus de 90 jours et sont ignorées. | Exportez un nouveau journal avec des événements récents et rechargez-le. |
| Aucune transaction vers les applications cloud catalogées | Aucune transaction vers des applications cloud reconnues n’est trouvée dans le journal. | Vérifiez que le journal contient des informations sur le trafic sortant. |
| Type de journal non pris en charge | Lorsque vous sélectionnez Source de données = Autre (non pris en charge), le journal n’est pas analysé. Au lieu de cela, il est envoyé pour examen à l’équipe technique Defender for Cloud Apps. | L’équipe technique Defender for Cloud Apps crée un analyseur dédié pour chaque source de données. Les sources de données les plus populaires sont déjà prises en charge. Chaque chargement d’une source de données non prise en charge est examiné et ajouté au pipeline pour les nouveaux analyseurs de source de données. Les nouvelles notifications d’analyseur sont publiées dans le cadre des notes de publication Defender for Cloud Apps. |
Erreurs du collecteur de journaux
| Problème | Résolution |
|---|---|
| Impossible de se connecter au collecteur de journaux via FTP | 1. Vérifiez que vous utilisez des informations d’identification FTP et non des informations d’identification SSH. 2. Vérifiez que le client FTP que vous utilisez n’est pas défini sur SFTP. |
| Échec de la mise à jour de la configuration du collecteur | 1. Vérifiez que vous avez entré le dernier jeton d’accès. 2. Vérifiez dans votre pare-feu que le collecteur de journaux est autorisé à lancer le trafic sortant sur le port 443. |
| Les journaux envoyés au collecteur n’apparaissent pas dans le portail | 1. Vérifiez si des tâches d’analyse ont échoué dans le journal de gouvernance. Si c’est le cas, résolvez l’erreur avec le tableau des erreurs d’analyse des journaux ci-dessus. 2. Si ce n’est pas le cas, case activée les sources de données et la configuration du collecteur de journaux dans le portail. a. Dans la page Source de données, vérifiez que le nom de la source de données est NSS et qu’elle est correctement configurée. b. Dans la page collecteurs de journaux, vérifiez que la source de données est liée au collecteur de journaux approprié. 3. Vérifiez la configuration locale de l’ordinateur collecteur de journaux local. a. Connectez-vous au collecteur de journaux via SSH et exécutez l’utilitaire collector_config. b. Vérifiez que votre pare-feu ou proxy envoie des journaux au collecteur de journaux à l’aide du protocole que vous avez défini (Syslog/TCP, Syslog/UDP ou FTP) et qu’il les envoie au port et au répertoire appropriés. c. Exécutez netstat sur l’ordinateur et vérifiez qu’il reçoit les connexions entrantes de votre pare-feu ou proxy 4. Vérifiez que le collecteur de journaux est autorisé à lancer le trafic sortant sur le port 443. |
| Collecteur de journaux status : Créé | Le déploiement du collecteur de journaux n’a pas été effectué. Effectuez les étapes de déploiement locales conformément au guide de déploiement. |
| Status du collecteur de journaux : déconnecté | Aucune donnée reçue au cours des dernières 24 heures de l’une des sources de données liées. |
| Échec de l’extraction de la dernière image du collecteur | Si vous obtenez cette erreur pendant le déploiement de Docker, il se peut que vous n’ayez pas assez de mémoire sur l’hôte. Pour case activée cela, exécutez cette commande sur l’hôte : docker pull mcr.microsoft.com/mcas/logcollector. S’il retourne cette erreur : failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device contactez l’administrateur de votre ordinateur hôte pour fournir plus d’espace. |
Erreurs du tableau de bord de découverte
| Problème | Résolution |
|---|---|
| Les données de découverte ont été chargées et analysées correctement, mais le tableau de bord de découverte cloud semble vide | Le tableau de bord peut être filtré sur les données que vos journaux n’ont pas, de sorte qu’il n’y a pas de données à afficher. Essayez de modifier les filtres dans le tableau de bord de découverte du cloud pour afficher différents types de données afin d’afficher les résultats. |
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.