사용자 지정 로그 파서 사용

Defender for Cloud Apps 사용하면 클라우드 검색에 사용할 수 있도록 로그의 형식을 일치시키고 처리하도록 사용자 지정 파서가 구성될 수 있습니다. 일반적으로 방화벽 또는 디바이스가 Defender for Cloud Apps 명시적으로 지원되지 않는 경우 사용자 지정 파서 를 사용합니다. CSV 파서 또는 사용자 지정 키 값 파서일 수 있습니다.

사용자 지정 파서에서는 이 프로세스를 수행하여 지원되지 않는 방화벽의 로그를 사용할 수 있습니다.

사용자 지정 파서 구성:

1. Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색작업> 클라우드 검색>스냅샷 보고서 만들기를 선택합니다. 예시:

   

2. 보고서 이름 및 설명 입력

3. 원본에서 아래로 스크롤하고 사용자 지정 로그 형식...을 선택합니다. 예를 들어:

   

4. 방화벽 및 프록시에서 로그를 수집하여 organization 사용자가 인터넷에 액세스합니다. 조직의 모든 사용자 활동을 나타내는 트래픽이 가장 많은 시간 동안 로그를 수집해야 합니다.

5. 텍스트 편집기에서 처리할 로그를 엽니다. 해당 형식을 검토하여 로그의 열 이름이 사용자 지정 로그 형식 대화 상자의 필드에 해당하는지 확인합니다.

   필수 필드는 별표(*)가 있는 사용자 지정 로그 형식 대화 상자에 표시되며 사용자 지정 로그 형식 대화 상자에 표시된 것과 동일한 시퀀스의 로그에 있어야 합니다. 로그는 필요한 필드가 로그에 있는 경우에만 처리됩니다. Defender for Cloud Apps 사용되지 않는 추가 필드는 삭제됩니다.

6. 사용자 지정 로그 형식 대화 상자에서 데이터를 기반으로 필드를 입력하여 Defender for Cloud Apps 특정 필드와 상관 관계가 있는 데이터의 열을 설명합니다. 제대로 상호 연결하려면 로그 파일의 열 이름을 수정해야 할 수 있습니다.

   참고

   필드는 대/소문자를 구분합니다. Defender for Cloud Apps 및 로그 파일에서 열의 이름을 동일하게 철자하고 입력해야 합니다. 또한 선택한 날짜 형식이 동일한지 확인합니다.

   예를 들어 다음 이미지는 텍스트 편집기에서 열린 샘플 로그 파일과 해당 사용자 지정 로그 형식 대화 상자가 채워져 있음을 보여 줍니다.

   

   

7. 저장을 선택합니다. 구성한 사용자 지정 로그 형식은 기본 사용자 지정 파서로 저장됩니다. 편집을 선택하여 언제든지 편집할 수 있습니다.

8. 트래픽 로그 업로드에서 수정한 로그 파일을 선택하고 로그 업로드를 선택하여 업로드합니다. 한 번에 최대 20개 파일을 업로드할 수 있습니다. 압축된 파일과 압축된 파일도 지원됩니다.

업로드가 완료되면 상태 메시지가 화면 오른쪽 위에 표시되어 로그가 성공적으로 업로드되었음을 알 수 있습니다.

로그를 구문 분석하고 분석하는 데 다소 시간이 걸릴 수 있습니다. Cloud Discovery > 대시보드 탭의 맨 위에 있는 상태 표시줄에 알림 배너가 표시되어 로그 파일의 처리 상태 표시합니다. 예시:

로그 파일 처리가 완료되면 완료되었음을 알리는 이메일을 받게 됩니다.

상태 표시줄에서 링크를 선택하여 보고서를 보거나 설정>Cloud Apps>Cloud Discovery>스냅샷 보고서를 선택합니다. 스냅샷 보고서를 선택하여 엽니다. 예시:

다음 단계

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.