使用自訂記錄剖析器
Defender for Cloud Apps 可讓您設定自定義剖析器來比對和處理記錄的格式,以便用於雲端探索。 如果防火牆或裝置未由 Defender for Cloud Apps 明確支援,通常您會使用自定義剖析器。 這可以是 CSV 剖析器或自定義索引鍵值剖析器。
自定義剖析器可讓您遵循此程式,使用不受支援防火牆的記錄。
若要設定自訂剖析器:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [Cloud Discovery>動作>] [建立 Cloud Discovery 快照集報告]。 例如:
![[建立新的快照集報表] 選項的螢幕快照。](media/create-new-snapshot-report.png)
輸入 報表名稱 和 描述
在 [來源] 下,向下卷動並選取 [自定義記錄格式...]。例如:
![[建立新的雲端探索快照集報表] 對話框的螢幕快照。](media/custom-log-upload.png)
從您的防火牆和 Proxy 收集記錄,讓組織中的使用者透過這些記錄存取因特網。 請務必在尖峰流量期間收集可代表貴組織中所有使用者活動的記錄。
在文字編輯器中開啟您想要處理的記錄。 檢閱其格式,確定記錄中的數據行名稱對應至 [ 自定義記錄格式 ] 對話框中的欄位。
必要的欄位會在 [ 自訂記錄格式 ] 對話框中標示星號 (*) ,而且必須以與 [ 自定義記錄格式 ] 對話框中所呈現的相同順序出現在記錄中。 只有在記錄中找到必要的欄位時,才會處理記錄。 系統會捨棄 Defender for Cloud Apps 不使用的額外欄位。
在 [自定義記錄格式] 對話框中,根據您的數據填入欄位,以描述數據中哪些數據行與 Defender for Cloud Apps 中的特定字段相互關聯。 您可能必須修改記錄檔中的數據行名稱,才能正確相互關聯。
注意事項
欄位會區分大小寫。 請確定您在 Defender for Cloud Apps 和記錄檔中拼字並以相同方式輸入資料行的名稱。 此外,請確定您選擇的日期格式相同。
例如,下列影像顯示在文本編輯器中開啟的範例記錄檔,以及填入的對應 [自定義記錄格式 ] 對話方塊。
![[自訂記錄格式] 對話框的螢幕快照,其中包含填入的值。](media/custom-log-parser.png)
選取 [儲存]。 您設定的自訂記錄格式將會儲存為預設的自訂剖析器。 您可以選取 [編輯],隨時 編輯它。
在 [上傳流量記錄] 下,選取您修改的記錄檔,然後選取 [上傳記錄 ] 來上傳。 您一次最多可以上傳 20 個檔案。 已壓縮的和壓縮檔也支援使用。
上傳完成之後,畫面右上角會顯示狀態消息,讓您知道記錄已成功上傳。
剖析和分析記錄需要一些時間。 通知橫幅會顯示在 [Cloud Discovery > 儀錶板 ] 索引卷標頂端的狀態列中,顯示記錄檔的處理狀態。 例如:
當記錄檔的處理完成時,您會收到一封電子郵件,通知您已完成。
選取狀態列中的連結來檢視報表,或選取 [ 設定>Cloud Apps>Cloud Discovery>快照集報告]。 選取您的快照集報表加以開啟。 例如:
![[快照集報告] 頁面的螢幕快照。](media/snapshot-report-management.png)
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。