排查云发现错误

本文提供了云发现错误的列表以及每个错误的解决方案建议。

即使在设置 Discovery 之后,客户仍可能继续强化操作系统以满足合规性标准。 但是,此操作可能会导致对容器化服务本身的干扰。

Microsoft Defender for Endpoint 集成

如果将Microsoft Defender for Endpoint与 Defender for Cloud Apps 集成,但看不到集成的结果。

问题 解决方案
Defender 管理的终结点 报表未显示在列表中 确保连接到的设备Windows 10版本 1809 或更高版本,并且你等待了必要的两个小时才能访问数据。
发现报告为空 如果终结点设备位于转发代理后面,则可以使用日志收集器从转发代理发送日志

日志分析错误

可以使用治理日志跟踪云发现日志的处理。 本文提供要针对其中显示的每个错误采取的解决操作。

治理日志错误

错误 说明 解决方案
不支持的文件类型 上传的文件不是有效的日志文件(例如图像文件)。 上传直接从防火墙或代理导出 的文本zipgzip 文件。
日志格式不匹配 上传的日志格式与此数据源的预期日志格式不匹配。 1. 验证日志是否未损坏。
2. 将日志与上传页面中显示的示例格式进行比较和匹配。
事务超过 90 天 所有事务超过 90 天,将被忽略。 导出包含最近事件的新日志并重新加载它。
对已编录的云应用没有事务 日志中找不到任何已识别云应用的事务。 验证日志是否包含出站流量信息。
不支持的日志类型 选择数据源 = 其他(不受支持)时,不会分析日志。 而是将其发送给Defender for Cloud Apps技术团队进行评审。 Defender for Cloud Apps技术团队为每个数据源生成一个专用分析程序。 已支持大多数常用数据源。 每次上传不受支持的数据源都会被审阅,并添加到新数据源分析器的管道中。 新的分析程序通知作为Defender for Cloud Apps发行说明的一部分发布。

日志收集器错误

问题 解决方案
无法通过 FTP 连接到日志收集器 1. 验证你使用的是 FTP 凭据,而不是 SSH 凭据。
2.验证所使用的 FTP 客户端是否未设置为 SFTP。
更新收集器配置失败 1. 验证是否输入了最新的访问令牌。
2. 在防火墙中验证是否允许日志收集器在端口 443 上启动出站流量。
发送到收集器的日志不会显示在门户中 1. 检查治理日志中是否有失败的分析任务。
    如果是这样,请使用上面的日志分析错误表排查错误。
2.如果没有,检查门户中的数据源和日志收集器配置。
    a. 在“数据源”页中,验证数据源的名称是否为 NSS 以及是否正确配置。
    b. 在 日志收集器 页中,验证数据源是否链接到正确的日志收集器。
3. 检查本地日志收集器的本地配置。
    a. 通过 SSH 登录到日志收集器并运行 collector_config 实用工具。
    b. 确认防火墙或代理使用 (Syslog/TCP、Syslog/UDP 或 FTP) 定义的协议将日志发送到日志收集器,并将其发送到正确的端口和目录。
    c. 在计算机上运行 netstat,并验证它是否接收来自防火墙或代理的传入连接
4.验证是否允许日志收集器在端口 443 上启动出站流量。
日志收集器状态:已创建 日志收集器部署未完成。 根据部署指南完成本地部署步骤。
日志收集器状态:断开连接 过去 24 小时内没有从任何链接数据源接收数据。
拉取最新收集器映像失败 如果在 Docker 部署期间收到此错误,可能是因为主机上没有足够的内存。 若要检查此问题,请在主机上运行以下命令:docker pull mcr.microsoft.com/mcas/logcollector。 如果返回此错误: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device 请与主机管理员联系以提供更多空间。

发现仪表板错误

问题 解决方案
已成功上传和分析发现数据,但云发现仪表板看起来为空 仪表板可能会根据日志中没有的数据进行筛选,因此没有要显示的数据。 尝试更改云发现仪表板中的筛选器以显示不同类型的数据以查看结果。

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证