你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本指南适用于其组织需要排查 Microsoft Defender for Cloud 相关问题的 IT 专业人员、信息安全分析人员和云管理员。
提示
当你遇到问题,或者需要我们的支持团队提供建议时,可以在 Azure 门户的“诊断并解决问题”部分寻找解决方案。
使用审核日志调查问题
查找故障排除信息的第一个位置是失败组件的审核日志。 在审核日志中,可以看到如下所示的详细信息:
- 执行了哪些操作。
- 谁启动了该操作。
- 操作何时发生。
- 操作的状态。
审核日志包含对你的资源执行的所有写入操作(PUT、POST、DELETE),但不包含读取操作 (GET)。
对运行不当的反恶意软件保护进行故障排除
来宾代理是 Microsoft Antimalware 扩展进行的所有操作的父进程。 当来宾代理进程故障时,作为来宾代理子进程运行的 Microsoft 反恶意软件保护也可能发生故障。
下面提供了一些故障排除提示:
- 如果目标 VM 是从自定义映像创建的,请确保 VM 的创建者安装了来宾代理。
- 如果目标是 Linux VM,安装 Windows 版本的反恶意软件扩展将失败。 Linux 来宾代理具有特定的操作系统和软件包要求。
- 如果 VM 是使用旧版本的来宾代理创建的,则旧代理可能无法自动更新到较新版本。 创建自己的映像时,请始终使用最新版本的来宾代理。
- 某些第三方管理软件可能会禁用来宾代理,或阻止对某些文件位置的访问。 如果 VM 上安装有第三方管理软件,请确保反恶意软件代理在排除列表中。
- 确保防火墙设置和网络安全组不会阻止传入和传出来宾代理的网络流量。
- 确保没有访问控制列表阻止磁盘访问。
- 来宾代理需要足够的磁盘空间才能正常运行。
默认情况下,Microsoft Antimalware 用户界面处于禁用状态。 但是,可以在 Azure 资源管理器 VM 上启用 Microsoft Antimalware 用户界面。
对加载仪表板时出现的问题进行故障排除
如果在加载工作负载保护仪表板时遇到问题,请确保首次在订阅上启用 Defender for Cloud 的用户以及想要启用数据收集的用户具有订阅上的“所有者”或“参与者”角色。 如果是这样,则订阅中具有“读者”角色的用户可以看到仪表板、警报、建议和策略。
排查 Azure DevOps 组织的连接器问题
如果无法加入 Azure DevOps 组织,请尝试以下故障排除提示:
请确保你使用的是 Azure 门户的非预览版本,授权步骤在 Azure 预览门户中不起作用。
请务必知晓你授权访问时登录的帐户,因为这是系统用于加入的帐户。 帐户可与相同的电子邮件地址相关联,但也可与不同的租户相关联。 请确保选择正确的帐户/租户组合。 如果需要更改组合:
在你的 Azure DevOps 配置文件页上,使用下拉菜单选择另一个帐户。
选择正确的帐户/租户组合后,转到 Defender for Cloud 中的“环境设置”,编辑你的 Azure DevOps 连接器。 重新授权连接器以更新为正确的帐户/租户组合。 然后,你应在下拉菜单中看到组织的正确列表。
确保你在要加入的 Azure DevOps 组织中具有项目集合管理员角色。
确保 Azure DevOps 组织的“通过 OAuth 的第三方应用程序访问”开关为“开”。 详细了解如何启用 OAuth 访问。
请与 Microsoft 支持部门联系
还可以在 Defender for Cloud Q&A 页中找到 Defender for Cloud 的故障排除信息。
如果需要更多帮助,可以在 Azure 门户中提出新的支持请求。 在“帮助 + 支持”页上,选择“创建支持请求”。
