Använda en anpassad loggparser

  • Artikel

Defender för molnet Apps kan du konfigurera en anpassad parser för att matcha och bearbeta formatet för dina loggar så att de kan användas för Cloud Discovery. Vanligtvis använder du en anpassad parser om brandväggen eller enheten inte uttryckligen stöds av Defender för molnet Apps. Detta kan vara en CSV-parser eller en anpassad nyckelvärdeparserare.

Med den anpassade parsern kan du använda loggar från brandväggar som inte stöds genom att följa den här processen.

Så här konfigurerar du en anpassad parser:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Cloud Discovery Actions Create Cloud Discovery snapshot report (Molnidentifieringsåtgärder>>Skapa en ögonblicksbildrapport för Molnidentifiering). Till exempel:

    Screenshot of the Create new snapshot report option.

  2. Ange ett Rapportnamn och en Beskrivning

  3. Under Källa bläddrar du hela vägen ned och väljer Anpassat loggformat.... Till exempel:

    Screenshot of the Create new Cloud Discovery snapshot report dialog.

  4. Samla in loggar från brandväggen och proxyservern som användarna i din organisation använder för att ansluta till Internet. Samla in loggar under tider med hög trafik som är representativa för all användaraktivitet i din organisation.

  5. Öppna loggarna som du vill bearbeta i en textredigerare. Granska deras format och se till att kolumnnamnen i loggen motsvarar fälten i dialogrutan Anpassat loggformat .

    Obligatoriska fält markeras i dialogrutan Anpassat loggformat med en asterisk (*) och måste finnas i loggarna i samma sekvens som i dialogrutan Anpassat loggformat . Loggar bearbetas endast om de obligatoriska fälten finns i loggen. Extra fält, som inte används av Defender för molnet Apps, ignoreras.

  6. I dialogrutan Anpassat loggformat fyller du i fälten baserat på dina data för att definiera vilka kolumner i data som korrelerar med specifika fält i Defender för molnet Apps. Du kan behöva ändra kolumnnamnen i loggfilen för att de ska överensstämma korrekt.

    Kommentar

    Fälten är skiftlägeskänsliga. Kontrollera att du stavar och skriver namnen på kolumnerna på samma sätt i Defender för molnet Appar och i loggfilen. Kontrollera också att de datumformat du väljer är identiska.

    Följande bilder visar till exempel en exempelloggfil som öppnats i en textredigerare och motsvarande dialogruta för anpassat loggformat , ifylld.

    Screenshot of a log file opened in a text editor.

    Screenshot of the Custom log format dialog, with populated values.

  7. Välj Spara. Det anpassade loggformat som du konfigurerade kommer att sparas som standardanpassad parser. Du kan redigera den när som helst genom att välja Redigera.

  8. Under Ladda upp trafikloggar väljer du loggfilen som du ändrade och väljer Ladda upp loggar för att ladda upp den. Du kan ladda upp högst 20 filer samtidigt. Komprimerade och zippade filer stöds också.

När uppladdningen är klar visas ett statusmeddelande i det övre högra hörnet på skärmen, så att du vet att loggen har laddats upp.

Det tar lite tid innan loggarna parsas och analyseras. En meddelandebanderoll visas i statusfältet överst på fliken Instrumentpanel för molnidentifiering > som visar bearbetningsstatus för dina loggfiler. Till exempel:

Screenshot of a processing log file menu bar.

När bearbetningen av loggfilerna är klar får du ett e-postmeddelande som meddelar dig att det är klart.

Visa rapporten antingen genom att välja länken i statusfältet eller välja Inställningar> Cloud Apps>Cloud Discovery>Snapshot-rapporter. Välj din ögonblicksbildrapport för att öppna den. Till exempel:

Screenshot of a the Snapshot reports page.

Nästa steg

Skapa Cloud Discovery-ögonblicksbildsrapporter

Konfigurera automatisk överföring av loggar för kontinuerlig rapportering

Arbeta med Cloud Discovery-data

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.