Verwenden eines benutzerdefinierten Protokollparsers

Defender for Cloud Apps ermöglichen Ihnen das Konfigurieren eines benutzerdefinierten Parsers zum Abstimmen und Verarbeiten des Formats Ihrer Protokolle, damit sie für Cloud Discovery verwendet werden können. In der Regel verwenden Sie einen benutzerdefinierten Parser, wenn die Firewall oder das Gerät nicht explizit von Defender for Cloud Apps unterstützt wird. Dabei kann es sich um einen CSV-Parser oder um einen benutzerdefinierten Schlüsselwertparser handeln.

Mit dem benutzerdefinierten Parser können Sie Protokolle von nicht unterstützten Firewalls verwenden, indem Sie dieses Verfahren befolgen.

So konfigurieren Sie einen benutzerdefinierten Parser:

  1. Wählen Sie im Microsoft Defender Portal unter "Cloud Apps" die Option "Cloud>Discovery-Aktionen>erstellen" Momentaufnahme Bericht aus. Beispiel:

    Screenshot of the Create new snapshot report option.

  2. Geben Sie einen Berichtsnamen und ein Beschreibung ein

  3. Scrollen Sie unter "Quelle" ganz nach unten, und wählen Sie "Benutzerdefiniertes Protokollformat" aus. Zum Beispiel:

    Screenshot of the Create new Cloud Discovery snapshot report dialog.

  4. Sammeln Sie Protokolle von Ihrer Firewall und Ihrem Proxy, über die/den Benutzer in Ihrer Organisation auf das Internet zugreifen. Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

  5. Öffnen Sie die Protokolle, die Sie in einem Text-Editor verarbeiten möchten. Überprüfen Sie das Format, und stellen Sie sicher, dass die Spaltennamen im Protokoll den Feldern im Dialogfeld "Benutzerdefiniertes Protokollformat " entsprechen.

    Erforderliche Felder sind im Dialogfeld "Benutzerdefiniertes Protokollformat " mit einem Sternchen (*) gekennzeichnet und müssen in den Protokollen in derselben Reihenfolge vorhanden sein, wie im Dialogfeld "Benutzerdefiniertes Protokollformat " dargestellt. Protokolle werden nur verarbeitet, wenn die erforderlichen Felder im Protokoll gefunden werden. Zusätzliche Felder, die von Defender für Cloud-Apps nicht verwendet werden, werden nicht Karte ed.

  6. Füllen Sie im Dialogfeld "Benutzerdefiniertes Protokollformat " die Felder basierend auf Ihren Daten aus, um zu delineieren, welche Spalten in den Daten mit bestimmten Feldern in Defender for Cloud Apps korrelieren. Für eine ordnungsgemäße Korrelation müssen Sie möglicherweise Spaltennamen in der Protokolldatei ändern.

    Hinweis

    In den Feldern wird Groß- und Kleinschreibung berücksichtigt. Vergewissern Sie sich, dass die Namen der Spalten in Defender for Cloud Apps und der Protokolldatei identisch geschrieben sind. Stellen Sie außerdem sicher, dass das gewählte Datumsformat identisch ist.

    Die folgenden Bilder zeigen z. B. eine Beispielprotokolldatei, die in einem Text-Editor geöffnet wurde, und das entsprechende Dialogfeld "Benutzerdefiniertes Protokollformat ", aufgefüllt.

    Screenshot of a log file opened in a text editor.

    Screenshot of the Custom log format dialog, with populated values.

  7. Wählen Sie Speichern. Das von Ihnen konfigurierte benutzerdefinierte Protokollformat wird als standardmäßiger benutzerdefinierter Parser gespeichert. Sie können sie jederzeit bearbeiten, indem Sie "Bearbeiten" auswählen.

  8. Wählen Sie unter "Datenverkehrsprotokolle hochladen" die protokolldatei aus, die Sie geändert haben, und wählen Sie "Protokolle hochladen" aus, um sie hochzuladen. Sie können bis zu 20 Dateien gleichzeitig hochladen. Komprimierte und gezippte Dateien werden ebenfalls unterstützt.

Nach Abschluss des Uploads wird in der oberen rechten Ecke des Bildschirms eine Statusmeldung angezeigt, in der Sie wissen, dass Ihr Protokoll erfolgreich hochgeladen wurde.

Es dauert einige Zeit, bis Ihre Protokolle analysiert und analysiert werden. Ein Benachrichtigungsbanner wird in der Statusleiste oben auf der Registerkarte "Cloud Discovery > Dashboard " mit dem Verarbeitungsstatus Ihrer Protokolldateien angezeigt. Beispiel:

Screenshot of a processing log file menu bar.

Wenn die Verarbeitung Ihrer Protokolldateien abgeschlossen ist, erhalten Sie eine E-Mail, um Sie darüber zu informieren, dass sie abgeschlossen ist.

Zeigen Sie den Bericht entweder an, indem Sie den Link in der Statusleiste auswählen oder Einstellungen> Cloud Apps>Cloud Discovery>Snapshot-Berichte auswählen. Wählen Sie Ihren Momentaufnahme Bericht aus, um ihn zu öffnen. Beispiel:

Screenshot of a the Snapshot reports page.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.