Использование настраиваемого средства синтаксического анализа журналов

Примечание

  • Мы переименовали Microsoft Cloud App Security. Теперь это называется Microsoft Defender for Cloud Apps. В ближайшие недели мы обновим снимки экрана и инструкции здесь и на связанных страницах. Дополнительные сведения об изменении см. в этом объявлении. Дополнительные сведения о недавнем переименовании служб безопасности Майкрософт см. в блоге Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps теперь является частью Microsoft 365 Defender. Портал Microsoft 365 Defender позволяет администраторам безопасности выполнять задачи безопасности в одном расположении. Это упростит рабочие процессы и добавит функциональные возможности других служб Microsoft 365 Defender. Microsoft 365 Defender будет домом для мониторинга и управления безопасностью в удостоверениях Майкрософт, данных, устройствах, приложениях и инфраструктуре. Дополнительные сведения об этих изменениях см. в Microsoft Defender for Cloud Apps Microsoft 365 Defender.

Defender для облака Приложения позволяют настроить пользовательский средство синтаксического анализа для сопоставления и обработки формата журналов, чтобы их можно было использовать для Cloud Discovery. Обычно используется пользовательский синтаксический анализатор, если брандмауэр или устройство не поддерживается явным образом Defender для облака Приложениями. Это может быть анализатор CSV или пользовательский анализатор пар "ключ-значение".

Чтобы пользовательское средство синтаксического анализа позволило использовать журналы из неподдерживаемых брандмауэров, выполните следующую процедуру.

Чтобы настроить пользовательский анализатор, выполните указанные ниже действия.

  1. На портале Defender для облака Apps выберите "Обнаружить" и "Создать отчет о моментальных снимках".

    Create new snapshot report.

  2. Введите имя отчета и описание

  3. В разделе "Источник" выберите настраиваемый формат журнала....

    New snapshot report.

  4. Соберите журналы из брандмауэра и прокси-сервера, через которые пользователи в вашей организации получают доступ к Интернету. Сбор производите по время пиковой нагрузки, чтобы в данных были отражены все действия пользователей в организации.

  5. Откройте журналы, которые вы намерены обработать в текстовом редакторе. Проверьте формат журналов, чтобы имена столбцов в них соответствовали полям на экране Пользовательский формат журнала.

    Review field in custom log parser.

  6. Затем заполните поля на основе данных, чтобы указать, какие столбцы в данных соответствуют определенным полям в Defender для облака Apps. Может потребоваться изменить имена столбцов в файле журнала, чтобы они правильно сопоставлялись.

    Примечание

    Данные в полях должны вводиться с учетом регистра. Убедитесь, что вы заклинание и введите имена столбцов одинаково в Defender для облака Apps и в файле журнала. Также убедитесь, что в них выбран одинаковый формат даты.

    Fill in custom log parser fields.

  7. Нажмите кнопку Сохранить. Формат пользовательского журнала, который вы настроили, будет сохранен как пользовательское средство синтаксического анализа по умолчанию. Его можно изменить в любое время, нажав кнопку Изменить.

  8. В разделе "Отправка журналов трафика" выберите измененный файл журнала и отправьте его. Одновременно можно отправить до 20 файлов. Также поддерживаются сжатые и ZIP-файлы.

  9. Выберите "Отправить журналы".

  10. После завершения отправки появится сообщение о состоянии в правом верхнем углу экрана, сообщающее о том, что журнал успешно отправлен.

  11. После отправки файлов журнала их анализ может занять некоторое время. После завершения обработки файлов журналов вы получите по электронной почте уведомление об этом.

  12. В строке состояния в верхней части панели мониторинга Cloud Discovery появится баннер с уведомлением. Баннер предоставляет актуальную информацию о состоянии обработки файлов журнала. processing log file menu bar.

  13. После отправки журналов появится уведомление о том, что обработка файлов журнала успешно завершена. Теперь вы можете просмотреть журнал, щелкнув ссылку в строке состояния либо выбрав пункт Параметры Cloud Discovery в меню, которое открывается щелчком по значку шестеренки.

    Discovery settings tab.

  14. Затем щелкните пункт Управление отчетами о снимках и выберите отчет о снимке.

    snapshot report management.

Дальнейшие действия

Если у вас возникнут проблемы, мы поможем вам. Чтобы получить помощь или поддержку по своему продукту, отправьте запрос в службу поддержки.