使用自訂記錄檔剖析器

  • 發行項

適用於雲端的 Defender Apps 可讓您設定自定義剖析器,以比對和處理記錄的格式,使其可用於 Cloud Discovery。 如果 適用於雲端的 Defender 應用程式未明確支援防火牆或裝置,您通常會使用自定義剖析器。 這可以是 CSV 剖析器或自訂的索引鍵值剖析器。

自訂剖析器可讓您使用來自不支援之防火牆的記錄檔,方法是依照此程序。

若要設定自訂剖析器

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery>動作>建立 Cloud Discovery 快照集報告]。 例如:

    Screenshot of the Create new snapshot report option.

  2. 輸入報告名稱描述

  3. 在 [來源] 底下,向下卷動並選取 [自定義記錄格式...]。例如:

    Screenshot of the Create new Cloud Discovery snapshot report dialog.

  4. 收集來自防火牆和 Proxy 的記錄檔,組織的使用者是透過它們來存取網際網路。 請務必在尖峰流量期間收集可代表貴組織中所有使用者活動的記錄。

  5. 在文字編輯器中開啟您要處理的記錄。 檢閱其格式,確定記錄中的數據行名稱對應至 [自定義記錄格式] 對話框中的欄位。

    必要欄位會以星號在 [自訂記錄格式] 對話框中標示,而且必須以與 [自定義記錄格式] 對話框中顯示的相同順序出現在記錄中。 只有在記錄中找到必要的欄位時,才會處理記錄。 適用於雲端的 Defender Apps 未使用的額外欄位會被捨棄。

  6. 在 [自定義記錄格式] 對話框中,根據您的數據填入欄位,以描述數據中哪些數據行與 適用於雲端的 Defender Apps 中的特定欄位相互關聯。 您可能要修改記錄檔中的資料行名稱才能正確地相互關聯。

    注意

    欄位會區分大小寫。 請確定您在 適用於雲端的 Defender Apps 和記錄檔中拼字並輸入資料行的名稱相同。 此外,請確定您選擇的日期格式相同。

    例如,下列影像會顯示在文本編輯器中開啟的範例記錄檔,以及填入對應的 [自定義記錄格式 ] 對話框。

    Screenshot of a log file opened in a text editor.

    Screenshot of the Custom log format dialog, with populated values.

  7. 選取 [儲存]。 您設定的自訂記錄格式將會儲存為預設的自訂剖析器。 您可以選取 [編輯],隨時編輯它。

  8. 在 [上傳流量記錄],選取您修改的記錄檔,然後選取 [上傳記錄] 以上傳記錄。 您一次最多可以上傳 20 個檔案。 已壓縮的和壓縮檔也支援使用。

上傳完成後,畫面右上角會顯示狀態消息,讓您知道記錄已成功上傳。

剖析和分析記錄需要一些時間。 通知橫幅會顯示在 [Cloud Discovery > 儀錶板] 索引卷標頂端的狀態列中,顯示記錄檔的處理狀態。 例如:

Screenshot of a processing log file menu bar.

當記錄檔的處理完成時,您會收到一封電子郵件通知您已完成。

選取狀態列中的連結,或選取 [設定> Cloud Apps>Cloud Discovery>快照集報告],以檢視報表。 選取快照集報表以開啟它。 例如:

Screenshot of a the Snapshot reports page.

下一步

建立 Cloud Discovery 快照集報告

設定自動記錄上傳以進行連續報告

使用 Cloud Discovery 資料

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證