Rozwiązywanie problemów z błędami odnajdywania w chmurze
Ten artykuł zawiera listę błędów odnajdywania w chmurze i zalecenia dotyczące rozwiązywania problemów dla każdego z nich.
Nawet po skonfigurowaniu odnajdywania klienci mogą kontynuować wzmacnianie zabezpieczeń systemu operacyjnego w celu spełnienia standardów zgodności. Jednak ta akcja może powodować zakłócenia w samej usłudze konteneryzacji.
integracja Ochrona punktu końcowego w usłudze Microsoft Defender
Jeśli zintegrowano Ochrona punktu końcowego w usłudze Microsoft Defender z Defender for Cloud Apps i nie widzisz wyników integracji.
| Problem | Rozwiązanie |
|---|---|
| Raporty punktów końcowych zarządzanych przez usługę Defender nie są wyświetlane na liście | Upewnij się, że urządzenia, z którymi nawiązujesz połączenie, są Windows 10 wersji 1809 lub nowszej oraz że odczekaliśmy niezbędne dwie godziny, zanim dane będą dostępne. |
| Raporty odnajdywania są puste | Jeśli urządzenie punktu końcowego znajduje się za serwerem proxy przesyłania dalej, możesz wysyłać dzienniki z serwera proxy przesyłania dalej przy użyciu modułu zbierającego dzienniki |
Błędy analizowania dzienników
Przetwarzanie dzienników odnajdywania w chmurze można śledzić przy użyciu dziennika ładu. Ten artykuł zawiera akcje rozwiązywania każdego błędu, który można tam wyświetlić.
Błędy dziennika ładu
| Error | Opis | Rozwiązanie |
|---|---|---|
| Nieobsługiwany typ pliku | Przekazany plik nie jest prawidłowym plikiem dziennika (na przykład plikiem obrazu). | Przekaż plik tekstowy, zip lub gzip , który został bezpośrednio wyeksportowany z zapory lub serwera proxy. |
| Format dziennika jest niezgodny | Przekazany format dziennika nie jest zgodny z oczekiwanym formatem dziennika dla tego źródła danych. | 1. Sprawdź, czy dziennik nie jest uszkodzony. 2. Porównaj i dopasuj dziennik do przykładowego formatu pokazanego na stronie przekazywania. |
| Transakcje mają więcej niż 90 dni | Wszystkie transakcje mają więcej niż 90 dni i są ignorowane. | Wyeksportuj nowy dziennik z ostatnimi zdarzeniami i załaduj go ponownie. |
| Brak transakcji w skatalogowanych aplikacjach w chmurze | W dzienniku nie znaleziono żadnych transakcji z żadnymi rozpoznawanymi aplikacjami w chmurze. | Sprawdź, czy dziennik zawiera informacje o ruchu wychodzącym. |
| Nieobsługiwany typ dziennika | Po wybraniu pozycji Źródło danych = Inne (nieobsługiwany) dziennik nie jest analizowany. Zamiast tego jest wysyłany do przeglądu do zespołu technicznego Defender for Cloud Apps. | Zespół techniczny Defender for Cloud Apps tworzy dedykowany analizator dla każdego źródła danych. Obsługiwane są już najpopularniejsze źródła danych. Każde przekazanie nieobsługiwanego źródła danych jest przeglądane i dodawane do potoku dla nowych analizatorów źródła danych. Nowe powiadomienia analizatora są publikowane w ramach informacji o wersji Defender for Cloud Apps. |
Błędy modułu zbierającego dzienniki
| Problem | Rozwiązanie |
|---|---|
| Nie można nawiązać połączenia z modułem zbierającym dzienniki za pośrednictwem protokołu FTP | 1. Sprawdź, czy używasz poświadczeń FTP, a nie poświadczeń SSH. 2. Sprawdź, czy używany klient FTP nie jest ustawiony na wartość SFTP. |
| Nie można zaktualizować konfiguracji modułu zbierającego | 1. Sprawdź, czy wprowadzono najnowszy token dostępu. 2. Sprawdź w zaporze, czy moduł zbierający dzienniki może inicjować ruch wychodzący na porcie 443. |
| Dzienniki wysyłane do modułu zbierającego nie są wyświetlane w portalu | 1. Sprawdź, czy w dzienniku nadzoru nie powiodło się analizowanie zadań. Jeśli tak, rozwiąż problem z błędem w tabeli błędów analizy dzienników powyżej. 2. Jeśli nie, sprawdź źródła danych i konfigurację modułu zbierającego dzienniki w portalu. a. Na stronie Źródło danych sprawdź, czy nazwa źródła danych to NSS i czy jest poprawnie skonfigurowana. b. Na stronie Moduły zbierające dzienniki sprawdź, czy źródło danych jest połączone z odpowiednim modułem zbierającym dzienniki. 3. Sprawdź konfigurację lokalną lokalnego modułu zbierającego dzienniki. a. Zaloguj się do modułu zbierającego dzienniki za pośrednictwem protokołu SSH i uruchom narzędzie collector_config. b. Upewnij się, że zapora lub serwer proxy wysyła dzienniki do modułu zbierającego dzienniki przy użyciu zdefiniowanego protokołu (Syslog/TCP, Syslog/UDP lub FTP) i że wysyła je do poprawnego portu i katalogu. c. Uruchom narzędzie netstat na maszynie i sprawdź, czy odbiera połączenia przychodzące z zapory lub serwera proxy 4. Sprawdź, czy moduł zbierający dzienniki może inicjować ruch wychodzący na porcie 443. |
| Stan modułu zbierającego dzienniki: Utworzono | Wdrożenie modułu zbierającego dzienniki nie zostało ukończone. Wykonaj kroki wdrażania lokalnego zgodnie z przewodnikiem wdrażania. |
| Stan modułu zbierającego dzienniki: Rozłączono | W ciągu ostatnich 24 godzin nie odebrano żadnych danych z żadnego ze połączonych źródeł danych. |
| Nie można wyciągnąć najnowszego obrazu modułu zbierającego | Jeśli wystąpi ten błąd podczas wdrażania platformy Docker, może się okazać, że nie masz wystarczającej ilości pamięci na hoście. Aby to sprawdzić, uruchom to polecenie na hoście: docker pull mcr.microsoft.com/mcas/logcollector. Jeśli zwraca ten błąd: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device skontaktuj się z administratorem maszyny hosta, aby zapewnić więcej miejsca. |
Błędy pulpitu nawigacyjnego odnajdywania
| Problem | Rozwiązanie |
|---|---|
| Dane odnajdywania zostały pomyślnie przekazane i przeanalizowane, ale pulpit nawigacyjny odnajdywania w chmurze wygląda na pusty | Pulpit nawigacyjny może być filtrowany według danych, których dzienniki nie mają, więc nie ma żadnych danych do pokazania. Spróbuj zmienić filtry na pulpicie nawigacyjnym odnajdywania w chmurze, aby wyświetlić różne typy danych, aby wyświetlić wyniki. |
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.