使用自定义日志分析程序
借助 Defender for Cloud Apps,可以配置自定义分析程序来匹配和处理日志格式,以便日志可用于 Cloud Discovery。 通常情况下,对于 Defender for Cloud Apps 不显式支持的防火墙或设备,需使用自定义分析程序。 这可以是 CSV 分析程序或自定义键值分析程序。
按如下过程操作后,可以通过自定义分析程序使用来自不受支持的防火墙的日志。
若要配置自定义分析程序,请执行以下操作:
在 Microsoft Defender 门户的 Cloud Apps 下,选择 Cloud Discovery>操作>创建 Cloud Discovery 快照报表。 例如:
输入“报表名称”和“说明”
在源下,一直向下滚动并选择自定义日志格式...。例如:
从组织用户用来访问 Internet 的防火墙和代理收集日志。 确保在高峰流量期间收集代表组织中所有用户活动的日志。
在文本编辑器中打开要处理的日志。 检查其格式,确保日志中的列名称对应于自定义日志格式对话框中的字段。
必填字段在自定义日志格式对话框中用星号 (*) 标记,并且必须以与自定义日志格式化对话框中相同的顺序出现在日志中。 只有在日志中找到所需字段时,才会处理日志。 Defender for Cloud Apps 不使用的额外字段将被丢弃。
在自定义日志格式对话框中,根据数据填写字段,划定数据中哪些列与 Defender for Cloud Apps 中的特定字段相关。 为了正确关联,可能需要修改日志文件中的列名称。
注意
字段区分大小写。 请确保 Defender for Cloud Apps 和日志文件中列名称的拼写完全一致。 此外,还请确保选择的日期格式也完全相同。
例如,下图显示了在文本编辑器中打开的示例日志文件,并填充了相应的自定义日志格式对话框。
选择“保存”。 配置的自定义日志格式将另存为默认自定义分析程序。 可以随时选择编辑来进行编辑。
在上传流量日志下,选择已修改的日志文件,然后选择上传日志进行上传。 一次最多可以上传 20 个文件。 还支持压缩文件。
上传完成后,状态消息将显示在屏幕右上角,告知你日志已成功上传。
解析和分析日志需要一些时间。 通知横幅显示在 Cloud Discovery > 仪表板选项卡顶部的状态栏中,其中显示了日志文件的处理状态。 例如:
日志文件处理完成后,用户将收到一封电子邮件,通知日志文件已处理完成。
通过选择状态栏中的链接或选择设置>云应用>Cloud Discovery>快照报表来查看报告。 选择快照报表以将其打开。 例如:
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。