Risoluzione degli errori di individuazione cloud
Questo articolo fornisce un elenco di errori di individuazione cloud e consigli sulla risoluzione per ognuno di essi.
Anche dopo la configurazione dell'individuazione, i clienti potrebbero continuare a rafforzare il sistema operativo per soddisfare gli standard di conformità. Tuttavia, questa azione potrebbe causare interferenze con il servizio di containerizzazione stesso.
Integrazione di Microsoft Defender per endpoint
Se è stato integrato Microsoft Defender per endpoint con Defender for Cloud Apps e non vengono visualizzati i risultati dell'integrazione.
| Problema | Risoluzione |
|---|---|
| I report degli endpoint gestiti da Defender non vengono visualizzati nell'elenco | Assicurarsi che i dispositivi a cui ci si connette siano Windows 10 versione 1809 o successiva e che siano state attese le due ore necessarie prima che i dati siano accessibili. |
| I report di individuazione sono vuoti | Se il dispositivo endpoint si trova dietro un proxy di inoltro, è possibile inviare i log dal proxy di inoltro usando un agente di raccolta log |
Errori di analisi dei log
È possibile tenere traccia dell'elaborazione dei log di individuazione cloud usando il log di governance. Questo articolo fornisce le azioni di risoluzione da eseguire per ogni errore che può essere visualizzato lì.
Errori del log di governance
| Error | Descrizione | Risoluzione |
|---|---|---|
| Tipo di file non supportato | Il file caricato non è un file di log valido, ad esempio un file di immagine. | Caricare un file di testo, zip o gzip esportato direttamente dal firewall o dal proxy. |
| Il formato del log non corrisponde | Il formato del log caricato non corrisponde al formato previsto per l'origine dati. | 1. Verificare che il log non sia danneggiato. 2. Confrontare e associare il log al formato di esempio mostrato nella pagina di caricamento. |
| Le transazioni hanno più di 90 giorni | Tutte le transazioni risalgono a più di 90 fa e vengono ignorate. | Esportare un nuovo log con eventi recenti e caricarlo nuovamente. |
| Nessuna transazione per le app cloud catalogate | Il log non contiene transazioni con app cloud riconosciute. | Verificare che il log contenga informazioni sul traffico in uscita. |
| Tipo di log non supportato | Quando si seleziona Origine dati = Altro (non supportato), il log non viene analizzato. Viene invece inviato per la revisione al team tecnico Defender for Cloud Apps. | Il team tecnico Defender for Cloud Apps crea un parser dedicato per ogni origine dati. Le origini dati più diffuse sono già supportate. Quando viene caricata un'origine dati non supportata, viene esaminata e aggiunta alla pipeline di nuovi parser di origini dati. Le nuove notifiche del parser vengono pubblicate come parte delle note sulla versione Defender for Cloud Apps. |
Errori dell'agente di raccolta log
| Problema | Risoluzione |
|---|---|
| Impossibile connettersi all'agente di raccolta log tramite FTP | 1. Verificare di usare le credenziali FTP e non le credenziali SSH. 2. Verificare che il client FTP in uso non sia impostato su SFTP. |
| Aggiornamento della configurazione dell'agente di raccolta non riuscito | 1. Verificare di aver immesso il token di accesso più recente. 2. Verificare nel firewall che l'agente di raccolta log sia autorizzato ad avviare il traffico in uscita sulla porta 443. |
| I log inviati all'agente di raccolta non vengono visualizzati nel portale | 1. Verificare se sono presenti attività di analisi non riuscite nel log di governance. In tal caso, risolvere l'errore con la tabella degli errori di analisi dei log precedente. 2. In caso contrario, controllare le origini dati e la configurazione dell'agente di raccolta log nel portale. a. Nella pagina Origine dati verificare che il nome dell'origine dati sia NSS e che sia configurato correttamente. b. Nella pagina Agenti di raccolta log verificare che l'origine dati sia collegata all'agente di raccolta log corretto. 3. Controllare la configurazione locale del computer dell'agente di raccolta log locale. a. Accedere all'agente di raccolta log tramite SSH ed eseguire l'utilità collector_config. b. Verificare che il firewall o il proxy invii log all'agente di raccolta log usando il protocollo definito (Syslog/TCP, Syslog/UDP o FTP) e che li stia inviando alla porta e alla directory corrette. c. Eseguire netstat nel computer e verificare che riceva le connessioni in ingresso dal firewall o dal proxy 4. Verificare che l'agente di raccolta log sia autorizzato ad avviare il traffico in uscita sulla porta 443. |
| Stato dell'agente di raccolta log: creato | La distribuzione dell'agente di raccolta log non è stata completata. Completare la procedura di distribuzione locale in base alla guida alla distribuzione. |
| Stato dell'agente di raccolta log: disconnesso | Nessun dato ricevuto nelle ultime 24 ore da nessuna delle origini dati collegate. |
| Impossibile eseguire il pull dell'immagine dell'agente di raccolta più recente | Se si verifica questo errore durante la distribuzione di Docker, è possibile che la memoria disponibile nell'host non sia sufficiente. Per verificarlo, eseguire questo comando nell'host: docker pull mcr.microsoft.com/mcas/logcollector. Se restituisce questo errore: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device contattare l'amministratore del computer host per fornire più spazio. |
Errori del dashboard di individuazione
| Problema | Risoluzione |
|---|---|
| I dati di individuazione sono stati caricati e analizzati correttamente, ma il dashboard di individuazione cloud sembra vuoto | Il dashboard potrebbe essere filtrato in base ai dati che i log non hanno, quindi non sono presenti dati da visualizzare. Provare a modificare i filtri nel dashboard di individuazione cloud per visualizzare diversi tipi di dati per visualizzare i risultati. |
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.