Een aangepaste logboekparser gebruiken
Defender voor Cloud Apps kunt u een aangepaste parser configureren om de indeling van uw logboeken te vergelijken en te verwerken, zodat deze kunnen worden gebruikt voor clouddetectie. Normaal gesproken gebruikt u een aangepaste parser als de firewall of het apparaat niet expliciet wordt ondersteund door Defender voor Cloud Apps. Dit kan een CSV-parser of een aangepaste sleutelwaardeparser zijn.
Met de aangepaste parser kunt u logboeken van niet-ondersteunde firewalls gebruiken door deze procedure te volgen.
Een aangepaste parser configureren:
Selecteer in de Microsoft Defender-portal onder Cloud Apps het rapport Cloud Discovery-momentopname maken van Cloud Discovery-acties>>. Voorbeeld:
Voer een rapportnaam en een beschrijving in.
Schuif onder Bron helemaal omlaag en selecteer Aangepaste logboekindeling.... Bijvoorbeeld:
Verzamel de logboeken van uw firewall en proxy, waarmee gebruikers in uw organisatie toegang tot internet hebben. Zorg dat u logboeken verzamelt tijdens piekverkeer die representatief zijn voor alle gebruikersactiviteit in uw organisatie.
Open de logboeken die u wilt verwerken in een teksteditor. Controleer de opmaak en zorg ervoor dat de kolomnamen in het logboek overeenkomen met de velden in het dialoogvenster Aangepaste logboekindeling .
Vereiste velden worden gemarkeerd in het dialoogvenster Aangepaste logboekindeling met een sterretje (*) en moeten aanwezig zijn in de logboeken in dezelfde volgorde als in het dialoogvenster Aangepaste logboekindeling . Logboeken worden alleen verwerkt als de vereiste velden in het logboek worden gevonden. Extra velden, die niet worden gebruikt door Defender voor Cloud Apps, worden verwijderd.
Vul in het dialoogvenster Aangepaste logboekindeling de velden in op basis van uw gegevens om te bepalen welke kolommen in de gegevens correleren met specifieke velden in Defender voor Cloud Apps. Mogelijk moet u de kolomnamen in het logboekbestand wijzigen om juiste correlaties te maken.
Notitie
De namen van de velden zijn hoofdlettergevoelig. Zorg ervoor dat u de namen van de kolommen identiek in Defender voor Cloud Apps en in het logboekbestand typt en typt. Zorg ook dat de datumnotatie die u kiest identiek is.
In de volgende afbeeldingen ziet u bijvoorbeeld een voorbeeldlogboekbestand dat is geopend in een teksteditor en het bijbehorende dialoogvenster Aangepaste logboekindeling , ingevuld.
Selecteer Opslaan. De aangepaste logboekindeling die u hebt geconfigureerd, wordt opgeslagen als standaardversie van de aangepaste parser. U kunt deze op elk gewenst moment bewerken door Bewerken te selecteren.
Selecteer onder Verkeerslogboeken uploaden het logboekbestand dat u hebt gewijzigd en selecteer Logboeken uploaden om het te uploaden. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.
Nadat het uploaden is voltooid, wordt in de rechterbovenhoek van het scherm een statusbericht weergegeven, zodat u weet dat uw logboek is geĆ¼pload.
Het duurt even voordat uw logboeken worden geparseerd en geanalyseerd. Een meldingsbanner wordt weergegeven op de statusbalk boven aan het tabblad Cloud Discovery > Dashboard , met de verwerkingsstatus van uw logboekbestanden. Voorbeeld:
Wanneer de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mail om u te laten weten dat deze is voltooid.
Bekijk het rapport door de koppeling op de statusbalk te selecteren of door Cloud Apps Cloud Apps>Cloud Discovery>Snapshot-rapporten te selecteren.> Selecteer het momentopnamerapport om het te openen. Voorbeeld:
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.