本文提供各項雲端發現錯誤及解決方案建議清單。
即使 Discovery 已建立,客戶仍可能持續強化作業系統以符合合規標準。 然而,此舉可能會干擾容器化服務本身。
適用於端點的 Microsoft Defender 整合錯誤
如果你將 適用於端點的 Microsoft Defender 與 Defender for Cloud Apps 整合,但你看不到整合的結果,
| 問題 | 解決方案 |
|---|---|
| Defender 管理端點 的報告不會出現在列表中 | 請確保你連接的裝置是 Windows 10 1809 或更新版本,並且你已經等足兩個小時才能存取資料。 |
| 發現報告是空白的 | 如果終端裝置在前向代理後方,你可以用日誌收集器從你的轉發代理發送日誌 |
記錄剖析錯誤
你可以利用治理日誌追蹤雲端發現日誌的處理過程。 本文提供針對每個錯誤應採取的解決措施。
治理日誌錯誤
| 錯誤 | 描述 | 解決方案 |
|---|---|---|
| 不支援的檔案類型 | 上傳的檔案不是有效的記錄檔 (例如影像檔)。 | 上傳直接從防火牆或代理匯出的 文字、 壓縮檔或 gzip 檔。 |
| 日誌格式不符 | 您上傳的記錄格式與此資料來源的預期記錄格式不相符。 | 1. 確認日誌沒有損壞。 2. 針對上傳頁面中顯示的範例格式比較及比對您的記錄。 |
| 交易超過90天 | 所有交易皆超過 90 天,且已忽略。 | 匯出具有最近事件的新記錄,然後重新上傳。 |
| 沒有交易到已編目雲端應用程式 | 記錄中找不到任何已識別雲端應用程式的交易。 | 確認日誌中是否包含出站流量資訊。 |
| 不支援的日誌類型 | 選取 [資料來源 = 其他 (不支援)] 時,不會剖析記錄。 取而代之的是送交 Defender for Cloud Apps 技術團隊審核。 | Defender for Cloud Apps 技術團隊會根據每個資料來源建置專屬的解析器。 大多數熱門資料來源 已支援。 每次上傳不支援的資料來源時,皆會針對新的資料來源剖析器進行審查並新增到管線。 新的解析器通知會作為 Defender for Cloud Apps 發布說明的一部分發布。 |
記錄收集器錯誤
日誌收集器診斷腳本自動化收集與壓縮日誌與診斷資料,用於在 Linux (Docker/Podman) 上排查日誌收集器容器,提升工作流程效率。 如果你需要聯絡客服,執行腳本並分享產生的日誌包,這樣可以更快解決問題。
| 問題 | 解決方案 |
|---|---|
| 無法透過 FTP 連接到日誌收集器 | 1. 確認您使用的是 FTP 認證,而不是 SSH 認證。 2. 確認你使用的 FTP 用戶端沒有設定為 SFTP (安全檔案傳輸協定(SSLP)) 。 |
| 更新收集器設定失敗 | 1. 確認您輸入的是最新的存取權杖。 2. 在防火牆中確認日誌收集器是否允許從 443 埠發起外撥流量。 |
| 寄給收集者的日誌不會出現在入口網站 | 1. 檢查管理記錄檔中的剖析工作是否失敗。 如果是這樣,請用上方的日誌解析錯誤表來排除錯誤。 2. 若不行,請檢查入口網站中的資料來源及日誌收集器設定。 a. 在記錄收集器頁面中,確認資料來源已連結至正確的記錄收集器。 3. 檢查本地日誌收集機的配置。 a. 透過 SSH 登入日誌收集器並執行 collector_config 工具。 b. 確認你的防火牆或代理伺服器是否使用你定義 (Syslog/TCP、Syslog/UDP 或 FTP) 協定,將日誌傳送到正確的埠口和目錄,並且是正確的埠口和目錄。 c. 在機器上執行 netstat,確認它是否收到來自防火牆或代理伺服器的連線 4. 確認日誌收集器是否允許在埠 443 發起出站流量。 |
| 日誌收集器狀態:已建立 | 記錄收集器部署未完成。 根據部署指南完成內部部署步驟。 |
| 日誌收集器狀態:已斷線 | 如果你看到這個問題,代表過去 24 小時內沒有收到任何連結資料來源的資料。 請聯絡 Microsoft Defender for Cloud Apps 客服並提供日誌檔案以供調查。 我們團隊會分析日誌,找出最後一次同步的時間以及導致中斷的原因。 |
| 拉取最新收藏圖片失敗 | 如果您在 Docker 部署期間收到此錯誤,可能是主機記憶體不足。 要檢查這點,請在主機上執行以下指令: docker pull mcr.microsoft.com/mcas/logcollector。 如果回傳此錯誤: failed to register layer: Error processing tar file(exist status 1): write /opt/jdk/jdk1.8.0_152/src.zip: no space left on device 請聯絡你的主機管理員以提供更多空間。 |
探索儀表板錯誤
| 問題 | 解決方案 |
|---|---|
| 發現資料已成功上傳並解析,但雲端發現儀表板看起來是空的 | 儀表板可能會被過濾到你的日誌沒有的資料,所以沒有資料可顯示。 試著在雲端發現儀表板中更改篩選條件,顯示不同類型的資料以查看結果。 |
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。