針對雲端探索錯誤進行疑難解答
本文提供每個雲端探索錯誤和解決建議的清單。
即使在設定探索之後,客戶仍可能會繼續強化操作系統,以符合合規性標準。 不過,此動作可能會導致容器化服務本身的干擾。
適用於端點的 Microsoft Defender 整合
如果您已將 適用於端點的 Microsoft Defender 與 適用於雲端的 Defender Apps 整合,而且看不到整合的結果。
問題 | 解決方案 |
---|---|
Defender 管理的端點 報告不會出現在清單中 | 請確定您連線到的裝置是 Windows 10 1809 版或更新版本,而且您等候了存取數據之前所需的兩小時。 |
探索報告是空的 | 如果端點裝置位於正向 Proxy 後方,您可以使用記錄收集器,從轉寄 Proxy 傳送記錄 |
記錄剖析錯誤
您可以使用治理記錄來追蹤雲端探索記錄的處理。 本文提供要針對可在該處顯示之每個錯誤採取的解決動作。
治理記錄錯誤
錯誤 | 描述 | 解決方案 |
---|---|---|
不支援的檔案類型 | 上傳的檔案不是有效的記錄檔 (例如影像檔)。 | 上傳直接從防火牆或 Proxy 導出的文字、zip 或 gzip 檔案。 |
記錄格式不相符 | 您上傳的記錄格式與此資料來源的預期記錄格式不相符。 | 1.確認記錄檔未損毀。 2. 針對上傳頁面中顯示的範例格式比較及比對您的記錄。 |
交易超過 90 天 | 所有交易皆超過 90 天,且已忽略。 | 匯出具有最近事件的新記錄,然後重新上傳。 |
沒有可分類雲端應用程式的交易 | 記錄中找不到任何已識別雲端應用程式的交易。 | 確認記錄包含輸出流量資訊。 |
不支援的記錄類型 | 選取 [資料來源 = 其他 (不支援)] 時,不會剖析記錄。 相反地,它會傳送給 適用於雲端的 Defender Apps 技術小組進行檢閱。 | 適用於雲端的 Defender Apps 技術小組會為每個數據源建置專用剖析器。 已經支援最常用資料來源。 每次上傳不支援的資料來源時,皆會針對新的資料來源剖析器進行審查並新增到管線。 新的剖析器通知會發佈為 適用於雲端的 Defender Apps 版本資訊的一部分。 |
記錄收集器錯誤
問題 | 解決方案 |
---|---|
無法透過 FTP 連線到記錄收集器 | 1. 確認您使用的是 FTP 認證,而不是 SSH 認證。 2.確認您使用的 FTP 用戶端未設定為 SFTP。 |
更新收集器組態時失敗 | 1. 確認您輸入的是最新的存取權杖。 2.在您的防火牆中確認記錄收集器允許在埠 443 上起始輸出流量。 |
傳送至收集程式的記錄未出現在入口網站中 | 1. 檢查管理記錄檔中的剖析工作是否失敗。 如果是這樣,請為上述記錄剖析錯誤表的錯誤進行疑難排解。 2.如果沒有,請檢查入口網站中的數據源和記錄收集器組態。 a. 在 [數據源] 頁面中,確認數據源的名稱為 NSS ,且已正確設定。 b. 在記錄收集器頁面中,確認資料來源已連結至正確的記錄收集器。 3.檢查內部部署記錄收集器計算機的本機設定。 a. 透過 SSH 登入記錄收集器,並執行 collector_config 公用程式。 b. 確認您的防火牆或 Proxy 正在使用您定義的通訊協議將記錄傳送至記錄收集器(Syslog/TCP、Syslog/UDP 或 FTP),並將其傳送至正確的埠和目錄。 c. 在計算機上執行 netstat,並確認它是否從防火牆或 Proxy 接收連入連線 4.確認記錄收集器允許在埠 443 上起始輸出流量。 |
記錄收集器狀態:已建立 | 記錄收集器部署尚未完成。 根據部署指南完成內部部署步驟。 |
記錄收集器狀態:已中斷連線 | 過去 24 小時內未收到來自任何連結資料來源的資料。 |
提取最新的收集器映像失敗 | 如果您在 Docker 部署期間收到此錯誤,可能是主機記憶體不足。 若要檢查此問題,請在主機上執行此命令: docker pull mcr.microsoft.com/mcas/logcollector 。 如果傳回此錯誤: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device 請連絡主計算機管理員以提供更多空間。 |
探索儀表板錯誤
問題 | 解決方案 |
---|---|
已成功上傳和剖析探索數據,但雲端探索儀錶板看起來空白 | 儀表板可能依據記錄中未包含的資料進行篩選,因此不會顯示任何資料。 請嘗試變更雲端探索儀錶板中的篩選,以顯示不同類型的數據,以查看結果。 |
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。