Устранение ошибок Cloud Discovery
В этой статье приводится список ошибок Cloud Discovery и рекомендации по устранению каждой из них.
Даже после настройки обнаружения клиенты могут продолжать ужесточение операционной системы, чтобы соответствовать стандартам соответствия. Однако это действие может вызвать вмешательство в саму службу контейнеризации.
Интеграция Microsoft Defender для конечной точки
Если вы интегрированы Microsoft Defender для конечной точки с Defender для облака Apps, и вы не видите результаты интеграции.
| Проблема | Решение |
|---|---|
| Отчеты пользователей конечной точки Win10 не отображаются в списке | Убедитесь, что устройства, к которым вы подключаетесь, относятся к Windows 10 версии 1809 или более поздней версии, и что вы ждали необходимых двух часов, необходимых для доступа к данным. |
| Отчеты об обнаружении пусты | Если устройство конечной точки находится за прокси-сервером пересылки, вы можете отправлять журналы из прокси-сервера пересылки с помощью сборщика журналов. |
Ошибки анализа журнала
Вы можете отслеживать обработку журналов Cloud Discovery с помощью журнала управления. В этой статье описываются действия по устранению всех ошибок, которые могут в нем встретиться.
Ошибки в журнале управления
| Ошибка | Описание | Решение |
|---|---|---|
| Неподдерживаемый тип файла | Добавленный файл не является допустимым файлом журнала (например, это файл изображения). | Отправьте текстовый, zip-файл или gzip, который был экспортирован непосредственно из брандмауэра или прокси-сервера. |
| Формат журнала не соответствует | Формат добавленного журнала не соответствует ожидаемому формату для этого источника данных. | 1. Убедитесь, что журнал не поврежден. 2. Сравните свой журнал с образцом, показанным на странице отправки. |
| Возраст транзакций превышает 90 дней | Все транзакции произошли более 90 дней назад и игнорируются. | Экспортируйте новый журнал с последними событиями и повторно добавьте его. |
| Нет транзакций с облачными приложениями из каталога | В журнале не найдены транзакции, связанные с распознанными облачными приложениями. | Проверьте, содержит ли журнал сведения об исходящем трафике. |
| Неподдерживаемый тип журнала | Если выбрать Источник данных = Другое (не поддерживается), журнал не будет анализироваться. Вместо этого она отправляется для проверки в техническую группу Defender для облака Apps. | Команда технической службы Defender для облака Apps создает выделенный средство синтаксического анализа для каждого источника данных. Большинство популярных источников данных уже поддерживается. При добавлении неподдерживаемого источника данных он изучается и добавляется в конвейер для новых средств синтаксического анализа источников данных. Новые уведомления синтаксического анализа публикуются в рамках заметок о выпуске Defender для облака Apps. |
Ошибки сборщика журналов
| Проблема | Решение |
|---|---|
| Не удалось подключиться к сборщику журналов через FTP | 1. Убедитесь, что вы используете учетные данные FTP, а не учетные данные SSH. 2. Убедитесь, что используется FTP-клиент не имеет значения SFTP. |
| Не удалось обновить конфигурацию сборщика | 1. Убедитесь, что вы ввели последний маркер доступа. 2. Проверьте, разрешен ли сборщик журналов инициировать исходящий трафик через порт 443. |
| Журналы, отправленные в сборщик, не отображаются на портале | 1. Проверьте, нет ли невыполненных задач по синтаксическому анализу в журнале управления. Если есть, устраните ошибку, используя приведенную выше таблицу с описанием ошибок анализа журналов. 2. В противном случае проверка конфигурацию источников данных и сборщика журналов на портале. a. На странице источника данных убедитесь, что имя источника данных — NSS и правильно ли оно настроено. Б. На странице сборщиков журналов убедитесь, что источники данных связаны с нужным сборщиком журналов. 3. Проверьте локальную конфигурацию локального компьютера сборщика журналов. a. Войдите в сборщик журналируемых данных по SSH и запустите служебную программу collector_config. b. Убедитесь, что брандмауэр или прокси-сервер отправляют журналы сборщику журналов с помощью определенного протокола (Syslog/TCP, Syslog/UDP или FTP) и отправляет их на правильный порт и каталог. c. Запустите netstat на компьютере и убедитесь, что он получает входящие подключения от брандмауэра или прокси-сервера. 4. Убедитесь, что сборщик журналов может инициировать исходящий трафик через порт 443. |
| Состояние сборщика журналируемых данных: создан | Развертывание сборщика журналируемых данных не завершено. Выполните действия по локальному развертыванию в соответствии с руководством по развертыванию. |
| Состояние сборщика журналируемых данных: отключен | За последние 24 часа не было получено данных ни от одного из связанных источников данных. |
| Сбой извлечения последнего образа сборщика | Если эта ошибка произошла во время развертывания Docker, возможно, на узле недостаточно памяти. Чтобы проверка это, выполните следующую команду на узле: docker pull mcr.microsoft.com/mcas/logcollector Если она возвращает эту ошибку: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device обратитесь к администратору хост-компьютера, чтобы предоставить больше места. |
Ошибки панели мониторинга Discovery
| Проблема | Решение |
|---|---|
| Данные обнаружения отправлены и успешно проанализированы, но панель мониторинга Cloud Discovery выглядит пустой. | Возможно, панель мониторинга отфильтрована по данным, отсутствующим в ваших журналах, поэтому отображаемые сведения отсутствуют. Попробуйте изменить фильтры на панели мониторинга Cloud Discovery для отображения различных типов данных, чтобы увидеть результаты. |
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.