カスタム ログ パーサーを使用する

Defender for Cloud Appsを使用すると、クラウド検出に使用できるように、ログの形式に合わせてカスタム パーサーを構成し、処理できます。 通常、ファイアウォールまたはデバイスがDefender for Cloud Appsで明示的にサポートされていない場合は、カスタム パーサーを使用します。 これは、CSV パーサーまたはカスタム キー値パーサーです。

カスタム パーサーを使用すると、このプロセスに従って、サポートされていないファイアウォールのログを使用できます。

カスタム パーサーを構成するには:

1. Microsoft Defender ポータルの [Cloud Apps] で、[Cloud Discovery>Actions>Create Cloud Discovery スナップショット report] を選択します。 以下に例を示します。

   

2. レポート名と説明を入力します

3. [ ソース] で、下までスクロールし、[ カスタム ログ形式...] を選択します。例えば：

   

4. ファイアウォールとプロキシからログを収集し、organizationのユーザーがインターネットにアクセスします。 組織内のすべてのユーザー アクティビティを代表するトラフィックのピーク時にログを収集してください。

5. テキスト エディターで処理するログを開きます。 その形式を確認し、ログ内の列名が [ カスタム ログ形式 ] ダイアログのフィールドに対応していることを確認します。

   必須フィールドは、[ カスタム ログ形式 ] ダイアログでアスタリスク (*) でマークされ、[ カスタム ログ形式 ] ダイアログと同じ順序でログに存在する必要があります。 ログは、ログに必要なフィールドが見つかった場合にのみ処理されます。 Defender for Cloud Appsによって使用されない追加のフィールドは破棄されます。

6. [カスタム ログ形式] ダイアログで、データに基づいてフィールドを入力し、データ内のどの列がDefender for Cloud Appsの特定のフィールドに関連付けられているかを示します。 正しく関連付けるために、ログ ファイル内の列名を変更する必要がある場合があります。

   注:

   フィールドでは大文字と小文字が区別されます。 列の名前のスペルと入力は、Defender for Cloud Appsとログ ファイルで同じように行ってください。 また、選択した日付形式が同一であることを確認します。

   たとえば、次の画像は、テキスト エディターで開かれたサンプル ログ ファイルと、対応する [カスタム ログ形式 ] ダイアログが設定されていることを示しています。

   

   

7. [保存] を選択します。 構成したカスタム ログ形式は、既定のカスタム パーサーとして保存されます。 [編集] を選択すると、いつでも 編集できます。

8. [ トラフィック ログのアップロード] で、変更したログ ファイルを選択し、[ ログのアップロード ] を選択してアップロードします。 一度に最大 20 個のファイルをアップロードできます。 圧縮ファイルや zip ファイルもサポートされています。

アップロードが完了すると、画面の右上隅に状態メッセージが表示され、ログが正常にアップロードされたことを通知します。

ログが解析されて分析されるまでに少し時間がかかります。 [ Cloud Discovery > ダッシュボード ] タブの上部にあるステータス バーに通知バナーが表示され、ログ ファイルの処理状態が表示されます。 以下に例を示します。

ログ ファイルの処理が完了すると、完了したことを通知するメールが届きます。

レポートを表示するには、ステータス バーでリンクを選択するか、[設定]、[クラウド アプリ>Cloud Apps>Cloud Discovery>Snapshot reports] の順に選択します。 スナップショット レポートを選択して開きます。 以下に例を示します。

次の手順

クラウド検出レポートスナップショット作成する

継続的レポートのために自動ログ アップロードを構成する

クラウド検出データの操作

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。