Использование настраиваемого средства синтаксического анализа журналов
Defender for Cloud Apps позволяет настроить пользовательское средство синтаксического анализа для сопоставления и обработки формата журналов, чтобы их можно было использовать для обнаружения в облаке. Обычно используется пользовательское средство синтаксического анализа, если брандмауэр или устройство явно не поддерживаются Defender for Cloud Apps. Это может быть средство синтаксического анализа CSV или настраиваемое средство синтаксического анализа значений ключей.
Пользовательское средство синтаксического анализа позволяет использовать журналы из неподдерживаемых брандмауэров, выполнив этот процесс.
Чтобы настроить пользовательское средство синтаксического анализа, выполните следующие действия.
На портале Microsoft Defender в разделе Облачные приложения выберите Cloud Discovery>Actions>Create Cloud Discovery Snapshot отчет. Например:
Введите имя отчета и описание.
В разделе Источник прокрутите все вниз и выберите Пользовательский формат журнала.... Например:
Собирайте журналы из брандмауэра и прокси-сервера, через которые пользователи в вашей организации получают доступ к Интернету. Обязательно собирайте журналы во время пикового трафика, отражающие все действия пользователей в этой организации.
Откройте журналы, которые нужно обработать, в текстовом редакторе. Проверьте их формат, убедившись, что имена столбцов в журнале соответствуют полям в диалоговом окне Настраиваемый формат журнала .
Обязательные поля помечаются в диалоговом окне Настраиваемый формат журнала звездочкой (*) и должны присутствовать в журналах в той же последовательности, что и в диалоговом окне Настраиваемый формат журнала . Журналы обрабатываются только в том случае, если в журнале найдены необходимые поля. Дополнительные поля, которые не используются Defender for Cloud Apps, удаляются.
В диалоговом окне Настраиваемый формат журнала заполните поля на основе ваших данных, чтобы определить, какие столбцы в данных связаны с конкретными полями в Defender for Cloud Apps. Для правильной корреляции может потребоваться изменить имена столбцов в файле журнала.
Примечание.
В полях учитывается регистр. Убедитесь, что вы написали и введите имена столбцов одинаково в Defender for Cloud Apps и в файле журнала. Кроме того, убедитесь, что выбранный формат даты идентичен.
Например, на следующих изображениях показан пример файла журнала, открытого в текстовом редакторе, и заполненное диалоговое окно "Настраиваемый формат журнала ".
Выберите Сохранить. Настроенный пользовательский формат журнала будет сохранен в качестве настраиваемого средства синтаксического анализа по умолчанию. Вы можете изменить его в любое время, нажав кнопку Изменить.
В разделе Отправка журналов трафика выберите файл журнала, который вы изменили, и выберите Отправить журналы , чтобы отправить его. Вы можете отправить до 20 файлов одновременно. Также поддерживаются сжатые и заархивированные файлы.
После завершения отправки в правом верхнем углу экрана появится сообщение о состоянии, сообщающее о том, что журнал успешно отправлен.
Для анализа и анализа журналов потребуется некоторое время. В строке состояния в верхней части вкладки Панель мониторинга Cloud Discovery > отображается баннер с уведомлением о состоянии обработки файлов журнала. Например:
После завершения обработки файлов журнала вы получите сообщение электронной почты с уведомлением о том, что это сделано.
Чтобы просмотреть отчет, щелкните ссылку в строке состояния или выберите Параметры Отчеты облачных>приложений>Cloud Discovery>Snapshot. Выберите отчет snapshot, чтобы открыть его. Например:
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.