使用自定义日志分析程序
借助 Defender for Cloud Apps,可以配置自定义分析程序来匹配和处理日志格式,以便日志可用于 Cloud Discovery。 通常情况下,对于 Defender for Cloud Apps 不显式支持的防火墙或设备,需使用自定义分析程序。 这可以是 CSV 分析程序或自定义键值分析程序。
按如下过程操作后,可以通过自定义分析程序使用来自不受支持的防火墙的日志。
配置自定义分析程序:
在 Microsoft Defender 门户的“云应用”下,选择“Cloud Discovery>Actions>创建 Cloud Discovery 快照 报表”。 例如:
输入“报表名称”和“说明”
在“源”下,一直向下滚动并选择“自定义日志格式...”。例如:
从组织用户用来访问 Internet 的防火墙和代理收集日志。 确保在高峰流量期间收集代表组织中所有用户活动的日志。
在文本编辑器中打开要处理的日志。 查看其格式,确保日志中的列名称对应于“自定义日志格式”对话框中的字段。
必填字段用星号在自定义日志格式对话框中标记,并且必须以与自定义日志格式对话框中显示的相同顺序出现在日志中。 仅当在日志中找到必填字段时,才会处理日志。 Defender for Cloud Apps 不使用的额外字段卡。
在“自定义日志格式”对话框中,根据数据填写字段,以描述数据中的哪些列与 Defender for Cloud Apps 中的特定字段相关联。 为了正确关联,可能需要修改日志文件中的列名称。
注意
字段区分大小写。 请确保 Defender for Cloud Apps 和日志文件中列名称的拼写完全一致。 此外,还请确保选择的日期格式也完全相同。
例如,下图显示了在文本编辑器中打开的示例日志文件,并填充了相应的 “自定义日志格式 ”对话框。
选择“保存”。 配置的自定义日志格式将另存为默认自定义分析程序。 可以通过选择“编辑” 随时对其进行编辑。
在“上传流量日志”下,选择修改的日志文件,然后选择“上传日志”以上传日志。 一次最多可以上传 20 个文件。 还支持压缩文件。
上传完成后,屏幕右上角会显示一条状态消息,告知你日志已成功上传。
分析和分析日志需要一些时间。 通知横幅显示在 Cloud Discovery > 仪表板选项卡顶部的状态栏中,其中显示了日志文件的处理状态。 例如:
完成日志文件处理后,你将收到一封电子邮件,通知你已完成。
通过选择状态栏中的链接或选择 设置>Cloud Apps>Cloud Discovery>Snapshot 报表来查看报表。 选择快照报表将其打开。 例如:
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。