创建快照 Cloud Discovery 报表

在尝试使用自动日志收集器之前，请务必手动上传日志并让 Microsoft Defender for Cloud Apps 对其进行分析。 有关日志收集器的工作原理和预期日志格式的信息，请参阅对 Cloud Discovery 使用流量日志。

如果尚无日志，并且想要查看示例了解日志外观的，请下载示例日志文件。 请按照以下过程查看日志的外观。

创建快照报表：

1. 从组织中的用户通过其访问 Internet 的防火墙和代理收集日志文件。 确保在高峰流量期间收集代表组织中所有用户活动的日志。

2. 在 Microsoft Defender 门户的“Cloud Apps”下，选择“Cloud Discovery”。

3. 在右上角，下拉“操作”菜单，选择“创建 Cloud Discovery 快照报表”。

   

4. 选择“下一步”。

5. 输入“报表名称”和“说明”

   

6. 选择要从中上传日志文件的源。 如果源不受支持（请参阅支持的防火墙和代理，查看完整列表），则可以创建自定义分析程序。 有关详细信息，请参阅使用自定义日志分析器。

7. 验证日志格式，确保根据可下载的示例日志正确设置日志格式。 在“验证日志格式”下，选择“查看日志格式”，然后选择“下载示例日志”。 将日志与提供的示例进行比较，以确保其兼容。

   

   注意

   FTP 示例格式在快照和自动上传中受支持，而 syslog 仅在自动上传中受支持。 下载示例日志将下载示例 FTP 日志。

8. 上传要上传的流量日志。 一次最多可以上传 20 个文件。 还支持压缩文件。

   

9. 选择“上传日志”。

10. 上传完成后，状态消息将出现在屏幕右上角，告知你日志已成功上传。

11. 上传日志文件后，解析和分析它们需要一些时间。 日志文件处理完成后，你将收到一封电子邮件，通知你操作已完成。

12. 通知横幅将显示在“Cloud Discovery”仪表板顶部的状态栏中。 横幅将更新日志文件的处理状态。

13. 成功上传日志后，你应会看到通知，告知日志文件处理已成功完成。 此时，可以选择状态栏中的链接，查看报表。 或者，在 Microsoft Defender 门户中，选择“设置”。

14. 然后在“Cloud Discovery”下选择“快照报表”，然后选择你的快照报表。

    

使用 Cloud Discovery 的流量日志

Cloud Discovery 使用流量日志中的数据。 日志越详细，可见性越好。 Cloud Discovery 需要具有以下属性的 Web 流量数据：

• 交易日期
• 源 IP
• 源用户 - 强烈建议
• 目标 IP 地址
• 建议使用目标 URL（URL 所提供的云应用监测的准确性高于 IP 地址）
• 数据总量（数据信息非常有价值）
• 上传或下载的数据量（提供有关云应用使用模式的见解）
• 已采取的行动（允许的/阻止的）

Cloud Discovery 无法显示或分析日志中未包含的属性。 例如，“Cisco ASA 防火墙”标准日志格式不包含“每个事务上传的字节数”、“用户名”和“目标 URL”（仅限目标 IP）。 因此，这些属性不会显示在这些日志的 Cloud Discovery 数据中，并且对云应用的可见性将受到限制。 对于 Cisco ASA 防火墙，必须将信息级别设置为 6。

若要成功生成 Cloud Discovery 报告，流量日志必须满足以下条件：

1. 支持数据源。
2. 日志格式与预期的标准格式（日志工具上传时检查的格式）匹配。
3. 事件不超过 90 天。
4. 日志文件有效，包括出站流量信息。

后续步骤

使用策略控制云应用

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。