Illumio Core-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie die Illumio Core-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.
Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label ILLUMIO_CORE
.
Loggruppe erstellen
- Rufen Sie im Menü der Policy Console Engine (PCE)-Webkonsole Einstellungen > Ereigniseinstellungen auf.
- Klicken Sie auf Hinzufügen. Das Fenster Ereigniseinstellungen – Ereignisweiterleitung hinzufügen wird angezeigt.
- Klicken Sie auf Repository hinzufügen.
Führen Sie im angezeigten Dialogfeld Repository hinzufügen die folgenden Schritte aus:
- Geben Sie im Feld Beschreibung einen Namen für den Syslog-Server ein.
- Geben Sie im Feld Adresse die IP-Adresse des Syslog-Servers ein.
- Wählen Sie in der Liste Protokoll das Protokoll UDP oder TCP aus.
- Geben Sie im Feld Port die Portnummer für den Syslog-Server ein.
- Wählen Sie in der Liste TLS die Option Deaktiviert aus.
- Klicken Sie auf OK.
Wählen Sie im angezeigten Dialogfeld Ereignisse die Ereignisse aus, die Sie an Ihren Syslog-Server senden möchten.
Konfigurieren Sie das Repository für die Ereignisweiterleitung, um die erforderlichen Ereignisse für die Weiterleitung anzugeben.
Aktivieren Sie alle Optionen unter Prüfbare Ereignisse und Traffic-Ereignisse.
Klicken Sie auf Speichern.
Google SecOps-Forwarder für die Aufnahme von Illumio Core-Logs konfigurieren
- Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
- Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Geben Sie im Feld Logtyp
Illumio Core
an. - Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.