排查 Cloud Discovery 问题

项目
01/23/2024

本文列出了 Cloud Discovery 错误以及每个错误的解决方法建议。

即使在设置 Discovery 后，客户也可以继续强化操作系统，以满足合规性标准。但是，此操作可能会导致对容器化服务本身造成干扰。

Microsoft Defender for Endpoint 集成

如果将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成，则看不到集成的结果。

问题	解决方案
Win10 端点用户报告未显示在列表中	确保连接到的设备是 Windows 10 版本 1809 或更高版本，并且你等待了必要的两个小时才能访问数据。
Discovery 报告为空	如果端点设备位于正向代理后面，则可以使用日志收集器从正向代理发送日志

日志分析错误

可以使用治理日志跟踪 Cloud Discovery 日志的处理。本文介绍了所有相关错误及其解决方案。

治理日志错误

错误	说明	解决方案
文件类型不受支持	上传的文件不是有效的日志文件（例如图像文件）。	请上传从防火墙或代理中直接导出的文本、zip 或 gzip 文件。
日志格式不匹配	上传的日志格式与此数据源的预期日志格式不匹配。	1. 验证日志是否损坏。 2. 将日志与上传页面中显示的示例格式进行比较和匹配。
事务超过 90 天	所有事务超过 90 天，将被忽略。	导出包含最近事件的新日志并重新加载它。
编录的云应用中没有任何事务	日志中找不到任何已识别云应用的事务。	验证日志是否包含出站流量信息。
不支持的日志类型	选择数据源 = 其他（不受支持）时，不会分析日志。而是将其发送给 Defender for Cloud Apps 技术团队进行审阅。	Defender for Cloud Apps 技术团队为每个数据源生成专用分析器。已支持最常用的数据源。每次上传不受支持的数据源都会被审阅，并添加到新数据源分析器的管道中。新的分析器通知随 Defender for Cloud Apps 的发行说明一同发布。

日志收集器错误

问题	解决方案
无法通过 FTP 连接到日志收集器	1. 验证你使用的是 FTP 凭据，而不是 SSH 凭据。 2. 验证正在使用的 FTP 客户端未设置为 SFTP。
更新收集器配置失败	1. 验证是否输入了最新的访问令牌。 2. 在防火墙中验证是否允许日志收集器在端口 443 上启动出站流量。
门户中没有显示发送到收集器的日志	1. 检查治理日志中是否有失败的分析任务。如果存在，请使用以上日志分析错误表解决错误。 2. 如果不存在，请检查门户中的数据源和日志收集器配置。 a. 在数据源页面中，验证数据源的名称是否为 NSS 且配置正确。 b. 在日志收集器页中，验证数据源是否链接到正确的日志收集器。 3. 检查本地日志收集器计算机的本地配置。 a. 通过 SSH 登录到日志收集器并运行 collector_config 实用程序。 b. 确认防火墙或代理使用定义的协议（Syslog/TCP、Syslog/UDP 或 FTP）将日志发送到日志收集器，并确认将其发送到正确的端口和目录。 c. 在计算机上运行 netstat 并验证它是否能接收来自防火墙或代理的传入连接 4. 验证是否允许日志收集器在端口 443 上启动出站流量。
日志收集器状态：已创建	日志收集器部署未完成。根据部署指南完成本地部署步骤。
日志收集器状态：已断开连接	过去 24 小时内没有从任何链接数据源接收数据。
无法拉取最新的收集器映像	如果在 Docker 部署期间收到此错误，可能是因为主机上没有足够的内存。要检查此操作，请在主机上运行以下命令： `docker pull mcr.microsoft.com/mcas/logcollector` 如果发回以下错误，请与主机管理员联系以提供更多空间：`failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device`

发现仪表板错误

问题	解决方案
已成功上传并分析发现数据，但 Cloud Discovery 仪表板看上去是空的	可能会针对日志中未包含的数据筛选仪表板，因此未显示数据。尝试更改 Cloud Discovery 仪表板中的筛选器以显示不同类型的数据以查看结果。

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。要获取产品问题的帮助或支持，请开立支持票证。