Usare un parser di log personalizzato
Defender per il cloud App consente di configurare un parser personalizzato in modo che corrisponda e elabori il formato dei log in modo che possano essere usati per Cloud Discovery. In genere si usa un parser personalizzato se il firewall o il dispositivo non è supportato in modo esplicito da Defender per il cloud App. Può trattarsi di un parser CSV o di un parser chiave-valore personalizzato.
Il parser personalizzato consente di usare i log provenienti da firewall non supportati seguendo questa procedura.
Per configurare un parser personalizzato:
In App cloud del portale di Microsoft Defender selezionare Cloud Discovery Actions Create Cloud Discovery snapshot report (Crea>report snapshot di Cloud Discovery).> Ad esempio:
Immettere un nome per il report e una descrizione nelle rispettive caselle
In Origine scorrere verso il basso e selezionare Formato log personalizzato.... Per esempio:
Raccogliere i log dal firewall e dal proxy tramite cui gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i periodi di picco del traffico che sono rappresentativi di tutte le attività degli utenti nell'organizzazione.
Aprire i log da elaborare in un editor di testo. Esaminare il formato, assicurandosi che i nomi delle colonne nel log corrispondano ai campi nella finestra di dialogo Formato log personalizzato.
I campi obbligatori sono contrassegnati nella finestra di dialogo Formato log personalizzato con un asterisco (*)e devono essere presenti nei log nella stessa sequenza visualizzata nella finestra di dialogo Formato log personalizzato. I log vengono elaborati solo se i campi obbligatori vengono trovati nel log. I campi aggiuntivi, che non vengono usati da Defender per il cloud App, vengono eliminati.
Nella finestra di dialogo Formato log personalizzato compilare i campi in base ai dati per delineare le colonne nei dati correlate a campi specifici in Defender per il cloud App. Può essere necessario modificare i nomi di colonna nel file di log per correlare correttamente i dati.
Nota
I campi fanno distinzione tra maiuscole e minuscole. Assicurarsi di digitare e digitare i nomi delle colonne in modo identico in Defender per il cloud App e nel file di log. Assicurarsi inoltre che il formato data scelto sia identico.
Ad esempio, le immagini seguenti mostrano un file di log di esempio aperto in un editor di testo e la finestra di dialogo Formato log personalizzato corrispondente, popolata.
Seleziona Salva. Il formato di log personalizzato configurato verrà salvato come parser personalizzato predefinito. È possibile modificarlo in qualsiasi momento selezionando Modifica.
In Carica log del traffico selezionare il file di log modificato e selezionare Carica log per caricarlo. È possibile caricare fino a 20 file alla volta. Sono supportati anche i file compressi e zippati.
Al termine del caricamento, viene visualizzato un messaggio di stato nell'angolo superiore destro della schermata, che informa che il log è stato caricato correttamente.
L'analisi e l'analisi dei log richiederanno del tempo. Un banner di notifica viene visualizzato nella barra di stato nella parte superiore della scheda Dashboard di Cloud Discovery>, che mostra lo stato di elaborazione dei file di log. Ad esempio:
Al termine dell'elaborazione dei file di log, si riceverà un messaggio di posta elettronica per notificare che è stata completata.
Per visualizzare il report, selezionare il collegamento nella barra di stato oppure selezionare Impostazioni> Report snapshot di Cloud Discovery>per le app>cloud. Selezionare il report snapshot per aprirlo. Ad esempio:
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.