Korzystanie z analizatora dzienników niestandardowych
Defender for Cloud Apps umożliwia skonfigurowanie analizatora niestandardowego w celu dopasowania i przetworzenia formatu dzienników, aby można było ich używać do odnajdywania w chmurze. Zazwyczaj należy użyć analizatora niestandardowego, jeśli zapora lub urządzenie nie jest jawnie obsługiwane przez Defender for Cloud Apps. Może to być analizator CSV lub analizator wartości klucza niestandardowego.
Analizator niestandardowy umożliwia używanie dzienników z nieobsługiwanych zapór, wykonując ten proces.
Aby skonfigurować analizator niestandardowy:
W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycjęAkcje odnajdywania>> w chmurzeUtwórz raport migawki usługi Cloud Discovery. Przykład:
Wprowadź nazwę raportu i opis
W obszarze Źródło przewiń całą drogę w dół i wybierz pozycję Format dziennika niestandardowego.... Na przykład:
Zbieraj dzienniki z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu. Pamiętaj, aby zbierać dzienniki w okresach szczytowego ruchu, które są reprezentatywne dla całej aktywności użytkowników w organizacji.
Otwórz dzienniki, które chcesz przetworzyć w edytorze tekstów. Przejrzyj ich format, upewniając się, że nazwy kolumn w dzienniku odpowiadają polam w oknie dialogowym Niestandardowy format dziennika .
Wymagane pola są oznaczone w oknie dialogowym Niestandardowy format dziennika gwiazdką (*) i muszą znajdować się w dziennikach w tej samej sekwencji, co przedstawiono w oknie dialogowym Niestandardowy format dziennika . Dzienniki są przetwarzane tylko wtedy, gdy wymagane pola zostaną znalezione w dzienniku. Dodatkowe pola, które nie są używane przez Defender for Cloud Apps, są odrzucane.
W oknie dialogowym Niestandardowy format dziennika wypełnij pola na podstawie danych, aby wytyczyć kolumny w danych skorelowane z określonymi polami w Defender for Cloud Apps. Może być konieczne zmodyfikowanie nazw kolumn w pliku dziennika w celu poprawnego skorelowania.
Uwaga
Pola uwzględniają wielkość liter. Upewnij się, że literujesz i wpisujesz nazwy kolumn identycznie w Defender for Cloud Apps i w pliku dziennika. Upewnij się również, że wybrany format daty jest identyczny.
Na przykład poniższe obrazy pokazują przykładowy plik dziennika otwarty w edytorze tekstów i wypełnione odpowiednie okno dialogowe niestandardowego formatu dziennika .
Wybierz Zapisz. Skonfigurowany niestandardowy format dziennika zostanie zapisany jako domyślny analizator niestandardowy. Możesz go edytować w dowolnym momencie, wybierając pozycję Edytuj.
W obszarze Przekazywanie dzienników ruchu wybierz zmodyfikowany plik dziennika i wybierz pozycję Przekaż dzienniki , aby je przekazać. Jednocześnie możesz przekazać maksymalnie 20 plików. Obsługiwane są również skompresowane i spakowane pliki.
Po zakończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.
Analizowanie i analizowanie dzienników zajmie trochę czasu. Baner powiadomień zostanie wyświetlony na pasku stanu w górnej części karty Pulpit nawigacyjny usługi Cloud Discovery>, który pokazuje stan przetwarzania plików dziennika. Przykład:
Po zakończeniu przetwarzania plików dziennika otrzymasz wiadomość e-mail z powiadomieniem o zakończeniu przetwarzania.
Wyświetl raport, wybierając link na pasku stanu lub wybierając pozycję Ustawienia> Raportymigawkiusługi Cloud Discovery>w usłudze Cloud Apps>. Wybierz raport migawki, aby go otworzyć. Przykład:
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.