使用自定义日志分析程序

Defender for Cloud Apps使你能够配置自定义分析程序来匹配和处理日志的格式，以便它们可用于云发现。 通常，如果防火墙或设备不受Defender for Cloud Apps显式支持，则使用自定义分析程序。 这可以是 CSV 分析程序或自定义键值分析程序。

通过自定义分析程序，可以按照此过程使用来自不受支持的防火墙的日志。

配置自定义分析程序：

1. 在Microsoft Defender门户中的“云应用”下，选择“云发现>操作>”“创建云发现快照报表”。 例如：

   

2. 输入报表名称和说明

3. 在 “源”下，向下滚动并选择“ 自定义日志格式...”。例如：

   

4. 从防火墙和代理收集日志，组织中的用户通过这些日志访问 Internet。 确保在高峰流量期间收集代表组织中所有用户活动的日志。

5. 在文本编辑器中打开要处理的日志。 查看其格式，确保日志中的列名对应于 “自定义日志格式 ”对话框中的字段。

   必填字段在 “自定义日志格式 ”对话框中使用星号 (*) 标记，并且必须以与 “自定义日志格式 ”对话框中所示的相同顺序存在于日志中。 仅当在日志中找到所需字段时，才会处理日志。 Defender for Cloud Apps不使用的额外字段将被丢弃。

6. 在“自定义日志格式”对话框中，根据数据填写字段，以描述数据中的哪些列与Defender for Cloud Apps中的特定字段相关。 可能需要修改日志文件中的列名才能正确关联。

   注意

   字段区分大小写。 请确保在 Defender for Cloud Apps 和日志文件中拼写和键入列的名称相同。 此外，请确保所选的日期格式相同。

   例如，以下图像显示了在文本编辑器中打开的示例日志文件，以及填充了相应的 “自定义日志格式 ”对话框。

   

   

7. 选择“保存”。 配置的自定义日志格式将保存为默认自定义分析程序。 可以随时通过选择“编辑”对其进行 编辑。

8. 在 “上传流量日志”下，选择修改的日志文件，然后选择“ 上传日志 ”进行上传。 一次最多可以上传 20 个文件。 还支持压缩文件。

上传完成后，屏幕右上角会显示一条状态消息，告知你已成功上传日志。

分析和分析日志需要一些时间。 “云发现>仪表板”选项卡顶部的状态栏中会显示一个通知横幅，其中显示了日志文件的处理状态。 例如：

日志文件的处理完成后，你将收到一封电子邮件，通知你已完成。

通过选择状态栏中的链接查看报表，或选择 “设置>云应用>云发现>快照报表”。 选择快照报表以将其打开。 例如：

后续步骤

创建快照云发现报告

为连续报告配置自动日志上传

使用云发现数据

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。