Использование настраиваемого средства синтаксического анализа журналов
Defender для облака Приложения позволяют настроить пользовательский средство синтаксического анализа для сопоставления и обработки формата журналов, чтобы их можно было использовать для облачного обнаружения. Обычно используется пользовательский средство синтаксического анализа, если брандмауэр или устройство не поддерживается явным образом Defender для облака Приложениями. Это может быть анализатор CSV или пользовательский анализатор пар "ключ-значение".
Чтобы пользовательское средство синтаксического анализа позволило использовать журналы из неподдерживаемых брандмауэров, выполните следующую процедуру.
Чтобы настроить пользовательский средство синтаксического анализа, выполните приведенные действия.
На портале Microsoft Defender в разделе "Облачные приложения" выберите "Действия>Cloud Discovery" создать отчет моментального снимка Cloud Discovery.> Например:
Введите имя отчета и описание.
В разделе "Источник" прокрутите весь путь вниз и выберите настраиваемый формат журнала.... Например:
Соберите журналы из брандмауэра и прокси-сервера, через которые пользователи в вашей организации получают доступ к Интернету. Обязательно собирайте журналы во время пикового трафика, отражающие все действия пользователей в этой организации.
Откройте журналы, которые вы намерены обработать в текстовом редакторе. Проверьте их формат, убедившись, что имена столбцов в журнале соответствуют полям в диалоговом окне пользовательского формата журнала.
Обязательные поля помечены в диалоговом окне "Настраиваемый формат журнала" звездочкой (*) и должны присутствовать в журналах в той же последовательности, что и в диалоговом окне "Настраиваемый формат журнала". Журналы обрабатываются только в том случае, если обязательные поля находятся в журнале. Дополнительные поля, которые не используются Defender для облака приложениями, удаляются.
В диалоговом окне "Настраиваемый формат журнала" заполните поля на основе данных, чтобы определить, какие столбцы в данных сопоставляются с определенными полями в приложениях Defender для облака. Может потребоваться изменить имена столбцов в файле журнала, чтобы они правильно сопоставлялись.
Примечание.
Данные в полях должны вводиться с учетом регистра. Убедитесь, что вы заклинание и введите имена столбцов в Defender для облака Apps и в файле журнала. Также убедитесь, что в них выбран одинаковый формат даты.
Например, на следующих изображениях показан пример файла журнала, открываемого в текстовом редакторе, и соответствующего диалогового окна пользовательского формата журнала, заполненного.
Выберите Сохранить. Формат пользовательского журнала, который вы настроили, будет сохранен как пользовательское средство синтаксического анализа по умолчанию. Его можно изменить в любое время, нажав кнопку "Изменить".
В разделе "Отправка журналов трафика" выберите измененный файл журнала и выберите "Отправить журналы", чтобы отправить его. Вы можете отправить до 20 файлов одновременно. Также поддерживаются сжатые и заархивированные файлы.
После завершения отправки появится сообщение о состоянии в правом верхнем углу экрана, чтобы узнать, что журнал успешно отправлен.
Для анализа и анализа журналов потребуется некоторое время. Баннер уведомлений отображается в строке состояния в верхней части вкладки "Панель мониторинга Cloud Discovery>" с состоянием обработки файлов журнала. Например:
После завершения обработки файлов журнала вы получите сообщение электронной почты, чтобы уведомить вас об этом.
Просмотрите отчет, выбрав ссылку в строке состояния или выбрав параметры>отчетов Cloud Apps>Cloud Discovery>Snapshot. Выберите отчет моментального снимка, чтобы открыть его. Например:
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.