カスタム ログ パーサーの使用

Defender for Cloud Apps では、クラウド ディスカバリーに使用できるように、ログの形式を一致させて処理するためのカスタム パーサーを構成できます。 通常、ファイアウォールまたはデバイスが Defender for Cloud Apps によって明示的にサポートされていない場合に、カスタム パーサーを使用します。 これは、CSV パーサーまたはカスタムのキー値パーサーになります。

カスタム パーサーでこのプロセスに従うと、サポートされていないファイアウォールからログを使用することができます。

カスタム パーサーを構成するには:

1. Microsoft Defender Portal の [クラウド アプリ] で、[Cloud Discovery]>[アクション]>[Cloud Discovery スナップショット レポートの作成] を選択します。 次に例を示します。

   

2. [レポート名] と [説明] を入力します。

3. [ソース] で一番下までスクロールし、[カスタム ログ形式] を選択します。次に例を示します。

   

4. 組織のユーザーがインターネット アクセスに使用するファイアウォールとプロキシからログを収集します。 組織内のすべてのユーザー アクティビティを代表するトラフィックのピーク時にログを収集してください。

5. テキスト エディターで処理するログを開きます。 ログの形式を確認し、ログの列名と [カスタム ログ形式] ダイアログのフィールドとが対応するようにします。

   必須フィールは、[カスタム ログ形式] ダイアログでアスタリスク (*) でマークされ、[カスタム ログ形式] ダイアログに表示されるのと同じ順序でログに存在する必要があります。 ログは、必須フィールドがログ内に見つかった場合にのみ処理されます。 Defender for Cloud Apps によって使用されない余分なフィールドは破棄されます。

6. [カスタム ログ形式] ダイアログで、ログのデータに基づいてフィールドに入力して、データ内のどの列が Defender for Cloud Apps の特定のフィールドに関連付けられるかを示します。 必要に応じて、正しく対応するようにログ ファイルの列名を変更します。

   Note

   フィールド名は大文字と小文字が区別されます。 Defender for Cloud Apps とログ ファイルで列の名前が同じように入力されていることを確認します。 また、選択した日付形式が同じであることを確認します。

   たとえば、次の画像に示しているのは、テキスト エディターで開いたサンプル ログ ファイルとそれに対応する [カスタム ログ形式] ダイアログです。

   

   

7. [保存] を選択します。 構成したカスタム ログ形式は、既定のカスタム パーサーとして保存されます。 [編集] を選択すると、いつでも編集できます。

8. [トラフィック ログのアップロード] で、変更したログ ファイルを選択し、[ログのアップロード] を選択してアップロードします。 一度に最大 20 個のファイルをアップロードできます。 圧縮ファイルや zip ファイルもサポートされています。

アップロードが完了すると、画面の右上隅にステータス メッセージが表示されて、ログが正常にアップロードされたことが通知されます。

ログが解析されて分析されるまでには、しばらく時間がかかります。 [Cloud Discovery] > [ダッシュボード] タブの上部にあるステータス バーに通知バナーが表示されて、ログ ファイルの処理ステータスが示されます。 次に例を示します。

ログ ファイルの処理が完了すると、完了したことを通知する電子メールが届きます。

ステータス バーでリンクを選択するか、[設定] > [クラウド アプリ] > [Cloud Discovery] > [スナップショット レポート] を選択して、レポートを表示します。 スナップショット レポートを選択して開きます。 次に例を示します。

次のステップ

クラウド ディスカバリーのスナップショット レポートを作成する

継続的なレポートのために自動ログ アップロードを構成する

クラウド ディスカバリー データでの作業

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。