Dela via

Använda en anpassad loggparser

  • Artikel

Med Defender för Cloud Apps kan du konfigurera en anpassad parser för att matcha och bearbeta formatet för dina loggar så att de kan användas för molnidentifiering. Vanligtvis använder du en anpassad parser om brandväggen eller enheten inte uttryckligen stöds av Defender för Cloud Apps. Detta kan vara en CSV-parser eller en anpassad nyckelvärdeparserare.

Med den anpassade parsern kan du använda loggar från brandväggar som inte stöds genom att följa den här processen.

Så här konfigurerar du en anpassad parser:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery Actions Create Cloud Discovery snapshot report (Molnidentifieringsåtgärder>>Skapa en ögonblicksbildrapport för Molnidentifiering). Till exempel:

    Skärmbild av alternativet Skapa ny ögonblicksbildrapport.

  2. Ange ett Rapportnamn och en Beskrivning

  3. Under Källa bläddrar du hela vägen ned och väljer Anpassat loggformat.... Till exempel:

    Skärmbild av dialogrutan Skapa ny ögonblicksbild av molnidentifiering.

  4. Samla in loggar från brandväggen och proxyservern som användarna i din organisation använder för att ansluta till Internet. Samla in loggar under tider med hög trafik som är representativa för all användaraktivitet i din organisation.

  5. Öppna loggarna som du vill bearbeta i en textredigerare. Granska deras format och se till att kolumnnamnen i loggen motsvarar fälten i dialogrutan Anpassat loggformat .

    Obligatoriska fält markeras i dialogrutan Anpassat loggformat med en asterisk (*) och måste finnas i loggarna i samma sekvens som i dialogrutan Anpassat loggformat . Loggar bearbetas endast om de obligatoriska fälten finns i loggen. Extra fält, som inte används av Defender för Cloud Apps, ignoreras.

  6. I dialogrutan Anpassat loggformat fyller du i fälten baserat på dina data för att beskriva vilka kolumner i data som korrelerar med specifika fält i Defender för Cloud Apps. Du kan behöva ändra kolumnnamnen i loggfilen för att de ska överensstämma korrekt.

    Kommentar

    Fälten är skiftlägeskänsliga. Kontrollera att du stavar och skriver namnen på kolumnerna identiskt i Defender för Cloud Apps och i loggfilen. Kontrollera också att de datumformat du väljer är identiska.

    Följande bilder visar till exempel en exempelloggfil som öppnats i en textredigerare och motsvarande dialogruta för anpassat loggformat , ifylld.

    Skärmbild av en loggfil som öppnats i en textredigerare.

    Skärmbild av dialogrutan Anpassat loggformat med ifyllda värden.

  7. Välj Spara. Det anpassade loggformat som du konfigurerade kommer att sparas som standardanpassad parser. Du kan redigera den när som helst genom att välja Redigera.

  8. Under Ladda upp trafikloggar väljer du loggfilen som du ändrade och väljer Ladda upp loggar för att ladda upp den. Du kan ladda upp högst 20 filer samtidigt. Komprimerade och zippade filer stöds också.

När uppladdningen är klar visas ett statusmeddelande i det övre högra hörnet på skärmen, så att du vet att loggen har laddats upp.

Det tar lite tid innan loggarna parsas och analyseras. En meddelandebanderoll visas i statusfältet överst på fliken Instrumentpanel för molnidentifiering > som visar bearbetningsstatus för dina loggfiler. Till exempel:

Skärmbild av menyraden för bearbetningsloggfiler.

När bearbetningen av loggfilerna är klar får du ett e-postmeddelande som meddelar dig att det är klart.

Visa rapporten antingen genom att välja länken i statusfältet eller välja Inställningar Cloud>Apps>Cloud Discovery>Snapshot-rapporter. Välj din ögonblicksbildrapport för att öppna den. Till exempel:

Skärmbild av sidan Ögonblicksbildrapporter.

Nästa steg

Skapa molnidentifieringsrapporter för ögonblicksbilder

Konfigurera automatisk överföring av loggar för kontinuerlig rapportering

Arbeta med molnidentifieringsdata

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.