Een aangepaste logboekparser gebruiken
Defender for Cloud Apps stelt u in staat om een aangepaste parser te configureren die overeenkomt met de indeling van uw logboeken, zodat deze kunnen worden gebruikt voor clouddetectie. Normaal gesproken gebruikt u een aangepaste parser als de firewall of het apparaat niet expliciet wordt ondersteund door Defender for Cloud Apps. Dit kan een CSV-parser of een aangepaste sleutelwaardeparser zijn.
Met de aangepaste parser kunt u logboeken van niet-ondersteunde firewalls gebruiken door dit proces te volgen.
Een aangepaste parser configureren:
Selecteer in de Microsoft Defender Portal onder Cloud Appsde optie Cloud discovery>actions>Create Cloud Discovery snapshot report. Bijvoorbeeld:
Voer een rapportnaam en een beschrijving in
Schuif onder Bron helemaal omlaag en selecteer Aangepaste logboekindeling.... Bijvoorbeeld:
Verzamel logboeken van uw firewall en proxy, via welke gebruikers in uw organisatie toegang hebben tot internet. Zorg ervoor dat u logboeken verzamelt tijdens piekmomenten die representatief zijn voor alle gebruikersactiviteit in uw organisatie.
Open de logboeken die u wilt verwerken in een teksteditor. Controleer de opmaak en zorg ervoor dat de kolomnamen in het logboek overeenkomen met de velden in het dialoogvenster Aangepaste logboekindeling .
Vereiste velden worden in het dialoogvenster Aangepaste logboekindeling gemarkeerd met een sterretje (*) en moeten aanwezig zijn in de logboeken in dezelfde volgorde als in het dialoogvenster Aangepaste logboekindeling . Logboeken worden alleen verwerkt als de vereiste velden in het logboek zijn gevonden. Extra velden die niet door Defender for Cloud Apps worden gebruikt, worden verwijderd.
Vul in het dialoogvenster Aangepaste logboekindeling de velden in op basis van uw gegevens om af te bakenen welke kolommen in de gegevens correleren met specifieke velden in Defender for Cloud Apps. Mogelijk moet u kolomnamen in het logboekbestand wijzigen om correct te correleren.
Opmerking
De velden zijn hoofdlettergevoelig. Zorg ervoor dat u de namen van de kolommen identiek in Defender for Cloud Apps en in het logboekbestand typt. Zorg er ook voor dat de datumnotatie die u kiest identiek is.
In de volgende afbeeldingen ziet u bijvoorbeeld een voorbeeldlogboekbestand dat is geopend in een teksteditor en het bijbehorende dialoogvenster Aangepaste logboekindeling , ingevuld.
Klik op Opslaan. De aangepaste logboekindeling die u hebt geconfigureerd, wordt opgeslagen als de standaard aangepaste parser. U kunt deze op elk gewenst moment bewerken door Bewerken te selecteren.
Selecteer onder Verkeerslogboeken uploaden het logboekbestand dat u hebt gewijzigd en selecteer Logboeken uploaden om het te uploaden. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.
Nadat het uploaden is voltooid, wordt er een statusbericht weergegeven in de rechterbovenhoek van het scherm, zodat u weet dat uw logboek is geĆ¼pload.
Het duurt even voordat uw logboeken zijn geparseerd en geanalyseerd. Er wordt een meldingsbanner weergegeven op de statusbalk boven aan het tabblad Cloud Discovery > Dashboard , met de verwerkingsstatus van uw logboekbestanden. Bijvoorbeeld:
Wanneer de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mail met de melding dat dit is gebeurd.
Bekijk het rapport door de koppeling op de statusbalk te selecteren of instellingen>Cloud Apps>Cloud Discovery>Snapshot Reports te selecteren. Selecteer het momentopnamerapport om het te openen. Bijvoorbeeld:
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.