Udostępnij za pośrednictwem


Korzystanie z analizatora dzienników niestandardowych

Defender dla Chmury Apps umożliwia skonfigurowanie niestandardowego analizatora w celu dopasowania i przetworzenia formatu dzienników w celu umożliwienia ich użycia na potrzeby odnajdywania w chmurze. Zazwyczaj należy użyć analizatora niestandardowego, jeśli zapora lub urządzenie nie jest jawnie obsługiwane przez usługę Defender dla Chmury Apps. Może to być analizator CSV lub analizator niestandardowej wartości klucza.

Analizator niestandardowy umożliwia użycie dzienników z nieobsługiwanej zapory przez wykonanie poniższego procesu.

Aby skonfigurować analizator niestandardowy:

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Akcje>rozwiązania Cloud Discovery>Utwórz raport migawki rozwiązania Cloud Discovery. Na przykład:

    Zrzut ekranu przedstawiający opcję Utwórz nowy raport migawki.

  2. Wprowadź nazwę raportu i opis.

  3. W obszarze Źródło przewiń w dół i wybierz pozycję Niestandardowy format dziennika.... Na przykład:

    Zrzut ekranu przedstawiający okno dialogowe Tworzenie nowego raportu migawki rozwiązania Cloud Discovery.

  4. Zbieraj pliki dzienników z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu. Upewnij się, że dzienniki są zbierane w okresach szczytowego natężenia ruchu, gdy reprezentują całą aktywność użytkowników w organizacji.

  5. Otwórz dzienniki, które chcesz przetworzyć w edytorze tekstów. Przejrzyj ich format, upewniając się, że nazwy kolumn w dzienniku odpowiadają polam w oknie dialogowym Niestandardowy format dziennika.

    Wymagane pola są oznaczone w oknie dialogowym Niestandardowy format dziennika gwiazdką (*)i muszą być obecne w dziennikach w tej samej sekwencji, co przedstawione w oknie dialogowym Niestandardowy format dziennika. Dzienniki są przetwarzane tylko wtedy, gdy wymagane pola zostaną znalezione w dzienniku. Dodatkowe pola, które nie są używane przez aplikacje Defender dla Chmury, są odrzucane.

  6. W oknie dialogowym Niestandardowy format dziennika wypełnij pola na podstawie danych, aby wypowiedzieć, które kolumny w danych są skorelowane z określonymi polami w usłudze Defender dla Chmury Apps. Być może będzie konieczne zmodyfikowanie nazw kolumn w pliku dziennika w celu ich prawidłowego skorelowania.

    Uwaga

    W polach jest rozróżniana wielkość liter. Upewnij się, że pisownia i wpisywanie nazw kolumn jest identyczne w Defender dla Chmury Apps i w pliku dziennika. Upewnij się również, że wybrany format daty jest identyczny.

    Na przykład na poniższych obrazach pokazano przykładowy plik dziennika otwarty w edytorze tekstów i wypełnione okno dialogowe Niestandardowe format dziennika.

    Zrzut ekranu przedstawiający plik dziennika otwarty w edytorze tekstów.

    Zrzut ekranu przedstawiający okno dialogowe Niestandardowy format dziennika z wypełnionymi wartościami.

  7. Wybierz pozycję Zapisz. Skonfigurowany niestandardowy format dziennika zostanie zapisany jako domyślny niestandardowy analizator. Możesz ją edytować w dowolnym momencie, wybierając pozycję Edytuj.

  8. W obszarze Przekaż dzienniki ruchu wybierz zmodyfikowany plik dziennika i wybierz pozycję Przekaż dzienniki , aby je przekazać. Jednocześnie można przekazać do 20 plików. Obsługiwane są także skompresowane i spakowane pliki.

Po zakończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.

Analizowanie i analizowanie dzienników zajmie trochę czasu. Transparent powiadomienia wyświetlany na pasku stanu w górnej części karty Pulpit nawigacyjny rozwiązania Cloud Discovery > z wyświetlonym stanem przetwarzania plików dziennika. Na przykład:

Zrzut ekranu przedstawiający pasek menu pliku dziennika przetwarzania.

Po zakończeniu przetwarzania plików dziennika otrzymasz wiadomość e-mail z powiadomieniem o jego zakończeniu.

Wyświetl raport, wybierając link na pasku stanu lub wybierając pozycję Ustawienia>Raport migawek rozwiązania Cloud Apps>Cloud Discovery.> Wybierz raport migawki, aby go otworzyć. Na przykład:

Zrzut ekranu przedstawiający stronę Raporty migawek.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.