Résolution des erreurs Cloud Discovery
Cet article fournit la liste des erreurs relatives à Cloud Discovery ainsi que des solutions recommandées pour chacune.
Même après la configuration de la découverte, les clients peuvent continuer la sécurisation renforcée du système d’exploitation pour répondre aux standards de conformité. Toutefois, cette action peut provoquer des interférences avec le service de conteneurisation lui-même.
Intégration de Microsoft Defender for Endpoint
Si vous avez intégré Microsoft Defender for Endpoint avec Defender for Cloud Apps et que vous ne voyez pas les résultats de l’intégration.
| Problème | Résolution |
|---|---|
| Les rapports des utilisateurs de point de terminaison Win10 n’apparaissent pas dans la liste. | Vérifiez que les appareils auxquels vous vous connectez sont Windows 10 version 1809 ou ultérieure, et que vous avez patienté les deux heures nécessaires avant que vos données ne soient accessibles. |
| Les rapports de découverte sont vides. | Si l’appareil de point de terminaison se trouve derrière un proxy de transfert, vous pouvez envoyer des journaux à partir de votre proxy de transfert à l’aide d’un collecteur de journaux. |
Erreurs d’analyse du journal
Vous pouvez suivre le traitement des journaux Cloud Discovery à l’aide du journal de gouvernance. Cet article fournit des actions de résolution à entreprendre pour chaque erreur qui peut s’afficher ici.
Erreurs du journal de gouvernance
| Erreur | Description | Résolution |
|---|---|---|
| Type de fichier non pris en charge | Le fichier chargé n’est pas un fichier journal valide (par exemple, un fichier image). | Chargez un fichier texte, zip ou gzip qui a été exporté directement à partir de votre pare-feu ou proxy. |
| Le format du journal ne correspond pas. | Le format de journal que vous avez chargé ne correspond pas au format de journal attendu pour cette source de données. | 1. Vérifiez que le journal n’est pas endommagé. 2. Comparez et faites correspondre votre journal au format d’exemple indiqué dans la page de chargement. |
| Les transaction datent de plus de 90 jours | Toutes les transactions datent de plus de 90 jours et sont ignorées. | Exportez un nouveau journal avec des événements récents et rechargez-le. |
| Aucune transaction pour les applications cloud cataloguées | Aucune transaction vers des applications cloud reconnues n’est trouvée dans le journal. | Vérifiez que le journal contient des informations sur le trafic sortant. |
| Type de journal non pris en charge | Lorsque vous sélectionnez Source de données = Autre (non pris en charge), le journal n’est pas analysé. Au lieu de cela, il est envoyé pour révision à l’équipe technique de Defender pour Cloud Apps. | L’équipe technique de Defender pour Cloud Apps crée un analyseur dédié pour chaque source de données. Les sources de données les plus utilisées sont déjà prises en charge. Chaque chargement d’une source de données non prise en charge est examiné et ajouté au pipeline pour les nouveaux analyseurs de source de données. Les nouvelles notifications de l’analyseur sont publiées comme faisant partie des notes de publication de Defender pour Cloud Apps. |
Erreurs du collecteur de journaux
| Problème | Résolution |
|---|---|
| Impossible de se connecter au collecteur de journaux via FTP. | 1. Vérifiez que vous utilisez des informations d’identification FTP et non des informations d’identification SSH. 2. Vérifiez que le client FTP que vous utilisez n’est pas défini sur SFTP. |
| Échec de la mise à jour de la configuration du collecteur | 1. Vérifiez que vous avez entré le dernier jeton d’accès. 2. Vérifiez dans votre pare-feu que le collecteur de journaux est autorisé à lancer le trafic sortant sur le port 443. |
| Les journaux envoyés au collecteur n’apparaissent pas dans le portail | 1. Vérifiez si des tâches d’analyse ont échoué dans le journal de gouvernance. Si tel est le cas, corrigez l’erreur avec le tableau des erreurs d’analyse du journal ci-dessus. 2. Si ce n’est pas le cas, vérifiez la configuration des sources de données et du collecteur de journaux dans le portail. a. Dans la page de la source de données, vérifiez que le nom de la source de données est NSS et qu’il est correctement configuré. b. Dans la page collecteurs de journaux, vérifiez que la source de données est liée au collecteur de journaux approprié. 3. Vérifiez la configuration locale de l’ordinateur du collecteur de journaux local. a. Connectez-vous au collecteur de journaux via SSH et exécutez l’utilitaire collector_config. b. Confirmez que votre pare-feu ou proxy envoie des journaux au collecteur de journaux en utilisant le protocole que vous avez défini (Syslog/TCP, Syslog/UDP ou FTP) et qu’il les envoie au port et au répertoire corrects. c. Exécutez netstat sur l’ordinateur et vérifiez qu’il reçoit des connexions entrantes de votre pare-feu ou proxy. 4. Vérifiez que le collecteur de journaux est autorisé à lancer le trafic sortant sur le port 443. |
| État du collecteur de journaux : Créé | Le déploiement du collecteur de journaux n’a pas été effectué. Effectuez les étapes de déploiement locales conformément au guide de déploiement. |
| État du collecteur de journaux : Déconnecté | Aucune donnée reçue au cours des dernières 24 heures de l’une des sources de données liées. |
| Échec de l’extraction de la dernière image du collecteur. | Si vous obtenez cette erreur pendant le déploiement de Docker, il se peut que vous n’ayez pas assez de mémoire sur l’hôte. Pour vérifier ce point, exécutez cette commande sur l’hôte : docker pull mcr.microsoft.com/mcas/logcollector. Si vous recevez l’erreur suivante : failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device contactez l’administrateur de votre ordinateur hôte pour obtenir plus d’espace. |
Erreurs du tableau de bord de découverte
| Problème | Résolution |
|---|---|
| Les données de découverte ont été chargées et analysées correctement, mais le tableau de bord Cloud Discovery semble vide | Le tableau de bord est peut-être filtré sur des données qui ne sont pas présentes dans vos journaux. Dans ce cas, il n’y a aucune donnée à afficher. Essayez de modifier les filtres dans le tableau de bord Cloud Discovery pour afficher différents types de données afin d’afficher les résultats. |
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.