Felsöka molnidentifieringsfel
Den här artikeln innehåller en lista över molnidentifieringsfel och lösningsrekommendationer för var och en.
Även när identifieringen har konfigurerats kan kunderna fortsätta att härda operativsystemet för att uppfylla efterlevnadsstandarder. Den här åtgärden kan dock orsaka störningar i själva containeriseringstjänsten.
Microsoft Defender för Endpoint integrering
Om du har integrerat Microsoft Defender för Endpoint med Defender for Cloud Apps och inte ser resultatet av integreringen.
| Fråga | Lösning |
|---|---|
| Rapporter för Defender-hanterade slutpunkter visas inte i listan | Kontrollera att de enheter som du ansluter till är Windows 10 version 1809 eller senare och att du har väntat de två timmar som krävs innan dina data är tillgängliga. |
| Identifieringsrapporterna är tomma | Om slutpunktsenheten ligger bakom en vidarebefordrad proxy kan du skicka loggar från din vidarebefordrande proxy med hjälp av en logginsamlare |
Loggparsningsfel
Du kan spåra bearbetningen av molnidentifieringsloggar med hjälp av styrningsloggen. Den här artikeln innehåller lösningsåtgärder som ska vidtas för varje fel som kan visas där.
Fel i styrningsloggen
| Fel | Beskrivning | Åtgärd |
|---|---|---|
| Filtyp som inte stöds | Den uppladdade filen är inte en giltig loggfil (till exempel en bildfil). | Ladda upp en text-, zip- eller gzip-fil som exporterades direkt från brandväggen eller proxyn. |
| Loggformatet matchar inte | Loggformatet som du laddade upp matchade inte det förväntade loggformatet för den här datakällan. | 1. Kontrollera att loggen inte är skadad. 2. Jämför och matcha loggen med exempelformatet som visas på uppladdningssidan. |
| Transaktioner är mer än 90 dagar gamla | Alla transaktioner är mer än 90 dagar gamla och ignoreras. | Exportera en ny logg med de senaste händelserna och ladda upp den igen. |
| Inga transaktioner till katalogiserade molnappar | Inga transaktioner till identifierade molnappar hittas i loggen. | Kontrollera att loggen innehåller utgående trafikinformation. |
| Loggtyp som inte stöds | När du väljer Datakälla = Annan (stöds inte) parsas inte loggen. I stället skickas den för granskning till Defender for Cloud Apps tekniska teamet. | Det Defender for Cloud Apps tekniska teamet skapar en dedikerad parser per datakälla. De flesta populära datakällor stöds redan. Varje uppladdning av en datakälla som inte stöds granskas och läggs till i pipelinen för parsare för nya datakällor. Nya parsningsmeddelanden publiceras som en del av Defender for Cloud Apps viktig information. |
Logginsamlarefel
| Fråga | Lösning |
|---|---|
| Det gick inte att ansluta till logginsamlaren via FTP | 1. Kontrollera att du använder FTP-autentiseringsuppgifter och inte SSH-autentiseringsuppgifter. 2. Kontrollera att FTP-klienten som du använder inte är inställd på SFTP. |
| Det gick inte att uppdatera insamlarkonfigurationen | 1. Kontrollera att du har angett den senaste åtkomsttoken. 2. Kontrollera i brandväggen att logginsamlaren får initiera utgående trafik på port 443. |
| Loggar som skickas till insamlaren visas inte i portalen | 1. Kontrollera om det finns misslyckade parsningsuppgifter i styrningsloggen. I så fall kan du felsöka felet med loggparsningsfeltabellen ovan. 2. Om inte kontrollerar du datakällorna och logginsamlarkonfigurationen i portalen. a. På sidan Datakälla kontrollerar du att namnet på datakällan är NSS och att det är korrekt konfigurerat. b. På sidan Logginsamlare kontrollerar du att datakällan är länkad till rätt logginsamlare. 3. Kontrollera den lokala konfigurationen av den lokala logginsamlardatorn. a. Logga in på logginsamlaren via SSH och kör verktyget collector_config. b. Bekräfta att brandväggen eller proxyn skickar loggar till logginsamlaren med det protokoll som du definierade (Syslog/TCP, Syslog/UDP eller FTP) och att den skickar dem till rätt port och katalog. c. Kör netstat på datorn och kontrollera att den tar emot inkommande anslutningar från brandväggen eller proxyn 4. Kontrollera att logginsamlaren tillåts initiera utgående trafik på port 443. |
| Status för logginsamlare: Skapad | Logginsamlardistributionen slutfördes inte. Slutför de lokala distributionsstegen enligt distributionsguiden. |
| Status för logginsamlare: Frånkopplad | Inga data har tagits emot under de senaste 24 timmarna från någon av de länkade datakällorna. |
| Det gick inte att hämta den senaste insamlaravbildningen | Om du får det här felet under Docker-distributionen kan det bero på att du inte har tillräckligt med minne på värden. Kontrollera detta genom att köra det här kommandot på värden: docker pull mcr.microsoft.com/mcas/logcollector. Om det returnerar det här felet: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device Kontakta värddatoradministratören för att ge mer utrymme. |
Fel på instrumentpanelen för identifiering
| Fråga | Lösning |
|---|---|
| Identifieringsdata har laddats upp och parsats men instrumentpanelen för molnidentifiering ser tom ut | Instrumentpanelen kan filtreras på data som dina loggar inte har, så det finns inga data att visa. Prova att ändra filtren på instrumentpanelen för molnidentifiering för att visa olika typer av data för att se resultatet. |
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.