Feilsøke feil under søk i skyen
Denne artikkelen inneholder en liste over feil og løsningsanbefalinger i skyen for hver av dem.
Selv etter at Discovery er konfigurert, kan kundene fortsette å herde operativsystemet for å oppfylle samsvarsstandarder. Denne handlingen kan imidlertid forårsake forstyrrelser i selve beholdertjenesten.
integrering av Microsoft Defender for endepunkt
Hvis du har integrert Microsoft Defender for endepunkt med Defender for Cloud Apps, og du ikke ser resultatene av integreringen.
| Problem | Løsning |
|---|---|
| Rapporter for defender-administrerte endepunkter vises ikke i listen | Kontroller at enhetene du kobler til, er Windows 10 versjon 1809 eller nyere, og at du ventet i to timer før dataene er tilgjengelige. |
| Oppdagelsesrapporter er tomme | Hvis endepunktenheten er bak en videresendingsproxy, kan du sende logger fra proxyen for videresending ved hjelp av en loggsamler |
Feil i logganalyse
Du kan spore behandlingen av skysøklogger ved hjelp av styringsloggen. Denne artikkelen inneholder løsningshandlinger som skal utføres for hver feil som kan vises der.
Feil i styringsloggen
| Feil | Beskrivelse | Løsning |
|---|---|---|
| Filtype som ikke støttes | Filen som er lastet opp, er ikke en gyldig loggfil (for eksempel en bildefil). | Last opp en tekst-, zip- eller gzip-fil som ble eksportert direkte fra brannmuren eller proxyen. |
| Loggformatet samsvarer ikke | Loggformatet du lastet opp, samsvarte ikke med det forventede loggformatet for denne datakilden. | 1. Kontroller at loggen ikke er skadet. 2. Sammenlign og sammenlign loggen med eksempelformatet som vises på opplastingssiden. |
| Transaksjoner er mer enn 90 dager gamle | Alle transaksjoner er mer enn 90 dager gamle og ignoreres. | Eksporter en ny logg med nylige hendelser, og last den inn på nytt. |
| Ingen transaksjoner til katalogiserte skyapper | Finner ingen transaksjoner til noen gjenkjente skyapper i loggen. | Kontroller at loggen inneholder informasjon om utgående trafikk. |
| Loggtype støttes ikke | Når du velger Datakilde = Annet (støttes ikke), analyseres ikke loggen. I stedet sendes den til Defender for Cloud Apps tekniske teamet. | Det Defender for Cloud Apps tekniske teamet bygger en dedikert analyse per hver datakilde. De mest populære datakildene støttes allerede. Hver opplasting av en datakilde som ikke støttes, gjennomgås og legges til i samlebåndet for nye datakildeanalyser. Nye parservarsler publiseres som en del av Defender for Cloud Apps produktmerknader. |
Logginnsamlingsfeil
| Problem | Løsning |
|---|---|
| Kan ikke koble til logginnsamlingen via FTP | 1. Kontroller at du bruker FTP-legitimasjon og ikke SSH-legitimasjon. 2. Kontroller at FTP-klienten du bruker, ikke er satt til SFTP. |
| Kan ikke oppdatere samlerkonfigurasjon | 1. Kontroller at du har angitt det nyeste tilgangstokenet. 2. Kontroller i brannmuren at loggsamleren har tillatelse til å starte utgående trafikk på port 443. |
| Logger som sendes til samleren, vises ikke i portalen | 1. Kontroller om det finnes mislykkede analyseoppgaver i styringsloggen. I så fall kan du feilsøke feilen med feiltabellen logganalyse ovenfor. 2. Hvis ikke, kontrollerer du datakildene og logginnsamlingskonfigurasjonen i portalen. a. Kontroller at navnet på datakilden er NSS på datakildesiden, og at det er riktig konfigurert. b. Kontroller at datakilden er koblet til den riktige loggsamleren på Log Collectors-siden. 3. Kontroller den lokale konfigurasjonen av den lokale loggsamlermaskinen. a. Logg på loggsamleren over SSH, og kjør collector_config verktøyet. b. Bekreft at brannmuren eller proxyen sender logger til logginnsamlingen ved hjelp av protokollen du definerte (Syslog/TCP, Syslog/UDP eller FTP), og at den sender dem til riktig port og katalog. c. Kjør netstat på maskinen, og kontroller at den mottar innkommende tilkoblinger fra brannmuren eller proxyen 4. Kontroller at loggsamleren har tillatelse til å starte utgående trafikk på port 443. |
| Logginnsamlingsstatus: Opprettet | Distribusjonen av logginnsamlingen ble ikke fullført. Fullfør de lokale distribusjonstrinnene i henhold til distribusjonsveiledningen. |
| Loggsamlerstatus: Frakoblet | Ingen data mottatt i løpet av de siste 24 timene fra noen av de koblede datakildene. |
| Kan ikke hente nyeste samlerbilde | Hvis du får denne feilen under Docker-distribusjonen, kan det være at du ikke har nok minne på verten. Hvis du vil kontrollere dette, kjører du denne kommandoen på verten: docker pull mcr.microsoft.com/mcas/logcollector. Hvis den returnerer denne feilen, failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device kontakter du administratoren for vertsmaskinen for å få mer plass. |
Oppdag instrumentbordfeil
| Problem | Løsning |
|---|---|
| Oppdagelsesdata ble lastet opp og analysert, men instrumentbordet for søk i skyen ser tomt ut | Instrumentbordet kan være filtrert på data loggene ikke har, så det er ingen data å vise. Prøv å endre filtrene i instrumentbordet for skysøk for å vise ulike typer data for å se resultatene. |
Neste trinn
Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.