收集 FireEye NX 日志

支持的平台:

本文档介绍了如何使用 Google 安全运营转发器收集 FireEye 网络安全和取证 (NX) 日志。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIREEYE_NX 注入标签的解析器。

配置 FireEye NX

  1. 登录 FireEye NX 界面。
  2. 依次前往设置 > 通知
  3. 如需启用 syslog 通知配置,请选中 rsyslog 复选框。
  4. 点击添加 rsyslog 服务器
  5. 名称字段中,输入一个名称来标记 FireEye 与 Google SecOps 实例之间的连接。
  6. IP 地址字段中,输入 Google SecOps 转发器 IP 地址。
  7. 选中已启用复选框。
  8. 传送列表中,选择按事件
  9. 通知列表中,选择所有事件
  10. Format 列表中,选择 CEF
  11. 账号字段中,请勿输入任何信息。
  12. 协议列表中,选择相应协议。

  13. 点击添加新的 rsyslog 服务器

配置 Google SecOps 转发器以提取 FireEye NX 日志

  1. 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新的转发器
  2. 转发器名称字段中,为转发器输入一个唯一名称。
  3. 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
  4. 收集器名称字段中,为收集器输入一个唯一名称。
  5. 日志类型字段中,指定 FireEye NX
  6. 选择 Syslog 作为收集器类型
  7. 配置以下输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
  8. 点击提交

如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。