Usare un parser di log personalizzato
Defender for Cloud Apps consente di configurare un parser personalizzato per la corrispondenza e l'elaborazione del formato dei log in modo che possano essere usati per l'individuazione cloud. In genere si usa un parser personalizzato se il firewall o il dispositivo non è supportato in modo esplicito da Defender for Cloud Apps. Può trattarsi di un parser CSV o di un parser di valori di chiave personalizzato.
Il parser personalizzato consente di usare i log di firewall non supportati seguendo questo processo.
Per configurare un parser personalizzato:
Nel portale di Microsoft Defender, in App cloud, selezionare Cloud Discovery>Actions>Create Cloud Discovery snapshot report (Creare un report snapshot di Cloud Discovery). Ad esempio:
Immettere un nome del report e una descrizione
In Origine scorrere fino in basso e selezionare Formato di log personalizzato. Per esempio:
Raccogliere i log dal firewall e dal proxy, tramite i quali gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i periodi di picco del traffico che sono rappresentativi di tutte le attività degli utenti nell'organizzazione.
Aprire i log che si desidera elaborare in un editor di testo. Esaminare il formato, assicurandosi che i nomi delle colonne nel log corrispondano ai campi della finestra di dialogo Formato log personalizzato .
I campi obbligatori sono contrassegnati nella finestra di dialogo Formato log personalizzato con un asterisco (*)e devono essere presenti nei log nella stessa sequenza visualizzata nella finestra di dialogo Formato log personalizzato . I log vengono elaborati solo se i campi obbligatori vengono trovati nel log. I campi aggiuntivi, che non vengono usati da Defender for Cloud Apps, vengono rimossi.
Nella finestra di dialogo Formato log personalizzato compilare i campi in base ai dati per delineare le colonne nei dati correlate a campi specifici in Defender for Cloud Apps. Potrebbe essere necessario modificare i nomi di colonna nel file di log per correlare correttamente.
Nota
I campi fanno distinzione tra maiuscole e minuscole. Assicurarsi di digitare i nomi delle colonne in modo identico in Defender for Cloud Apps e nel file di log. Assicurarsi inoltre che il formato di data scelto sia identico.
Ad esempio, le immagini seguenti mostrano un file di log di esempio aperto in un editor di testo e la finestra di dialogo Formato log personalizzato corrispondente, popolata.
Seleziona Salva. Il formato di log personalizzato configurato verrà salvato come parser personalizzato predefinito. È possibile modificarlo in qualsiasi momento selezionando Modifica.
In Carica log del traffico selezionare il file di log modificato e selezionare Carica log per caricarlo. È possibile caricare fino a 20 file alla volta. Sono supportati anche i file compressi e zippati.
Al termine del caricamento, nell'angolo superiore destro dello schermo viene visualizzato un messaggio di stato che informa che il log è stato caricato correttamente.
L'analisi e l'analisi dei log richiederanno del tempo. Un banner di notifica viene visualizzato nella barra di stato nella parte superiore della scheda Dashboard di Cloud Discovery>, che mostra lo stato di elaborazione dei file di log. Ad esempio:
Al termine dell'elaborazione dei file di log, si riceverà un messaggio di posta elettronica per notificare che è stato completato.
Visualizzare il report selezionando il collegamento nella barra di stato oppure selezionare Impostazioni Report> snapshotcloud discovery>di App> cloud. Selezionare il report snapshot per aprirlo. Ad esempio:
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.