Dela via

Använda en anpassad loggparser

  • Artikel

Defender for Cloud Apps kan du konfigurera en anpassad parser för att matcha och bearbeta formatet för dina loggar så att de kan användas för molnidentifiering. Vanligtvis använder du en anpassad parser om brandväggen eller enheten inte uttryckligen stöds av Defender for Cloud Apps. Detta kan vara en CSV-parser eller en parser för anpassat nyckelvärde.

Med den anpassade parsern kan du använda loggar från brandväggar som inte stöds genom att följa den här processen.

Så här konfigurerar du en anpassad parser:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery ActionsCreate Cloud Discovery snapshot report (Molnidentifieringsögonblicksrapport>>). Till exempel:

    Skärmbild av alternativet Skapa ny ögonblicksbildrapport.

  2. Ange ett rapportnamn och en beskrivning

  3. Under Källa bläddrar du hela vägen ned och väljer Anpassat loggformat.... Till exempel:

    Skärmbild av dialogrutan Skapa ny ögonblicksbild av molnidentifiering.

  4. Samla in loggar från din brandvägg och proxyserver, genom vilken användare i din organisation får åtkomst till Internet. Se till att samla in loggar under tider med trafiktoppar som är representativa för all användaraktivitet i din organisation.

  5. Öppna loggarna som du vill bearbeta i en textredigerare. Granska deras format och kontrollera att kolumnnamnen i loggen motsvarar fälten i dialogrutan Anpassat loggformat .

    Obligatoriska fält markeras i dialogrutan Anpassat loggformat med en asterisk (*) och måste finnas i loggarna i samma sekvens som visas i dialogrutan Anpassat loggformat . Loggar bearbetas endast om de obligatoriska fälten hittas i loggen. Extra fält, som inte används av Defender for Cloud Apps, tas bort.

  6. I dialogrutan Anpassat loggformat fyller du i fälten baserat på dina data för att definiera vilka kolumner i data som korrelerar med specifika fält i Defender for Cloud Apps. Du kan behöva ändra kolumnnamnen i loggfilen för att korrelera korrekt.

    Obs!

    Fälten är skiftlägeskänsliga. Kontrollera att du stavar och skriver namnen på kolumnerna på samma sätt i Defender for Cloud Apps och i loggfilen. Kontrollera också att det datumformat du väljer är identiskt.

    Följande bilder visar till exempel en exempelloggfil som öppnats i en textredigerare och motsvarande dialogruta för anpassat loggformat ifyllt.

    Skärmbild av en loggfil som öppnats i en textredigerare.

    Skärmbild av dialogrutan Anpassat loggformat med ifyllda värden.

  7. Välj Spara. Det anpassade loggformatet som du har konfigurerat sparas som standardanpassad parser. Du kan redigera den när som helst genom att välja Redigera.

  8. Under Ladda upp trafikloggar väljer du loggfilen som du ändrade och väljer Ladda upp loggar för att ladda upp den. Du kan ladda upp upp till 20 filer samtidigt. Komprimerade och zippade filer stöds också.

När uppladdningen är klar visas ett statusmeddelande i det övre högra hörnet på skärmen, så att du vet att loggen har laddats upp.

Det tar lite tid innan loggarna parsas och analyseras. En meddelandebanderoll visas i statusfältet överst på fliken Cloud Discovery > Dashboard som visar bearbetningsstatusen för dina loggfiler. Till exempel:

Skärmbild av menyraden för bearbetningsloggfiler.

När bearbetningen av loggfilerna är klar får du ett e-postmeddelande som meddelar dig att det är klart.

Visa rapporten antingen genom att välja länken i statusfältet eller välja Inställningar Cloud>Apps>Cloud Discovery>Snapshot-rapporter. Välj din ögonblicksbildsrapport för att öppna den. Till exempel:

Skärmbild av sidan Ögonblicksbildsrapporter.

Nästa steg

Skapa molnidentifieringsrapporter för ögonblicksbilder

Konfigurera automatisk logguppladdning för kontinuerliga rapporter

Arbeta med molnidentifieringsdata

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.