Illumio Core-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Illumio Core-Protokolle mit einem Google Security Operations-Weiterleiter erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel ILLUMIO_CORE.

Protokollgruppe erstellen

  1. Klicken Sie in der Webkonsole der Policy Console Engine (PCE) auf Einstellungen > Ereigniseinstellungen.
  2. Klicken Sie auf Hinzufügen. Das Fenster Ereigniseinstellungen – Ereignisweiterleitung hinzufügen wird angezeigt.
  3. Klicken Sie auf Repository hinzufügen.

  4. Führen Sie im angezeigten Dialogfeld Repository hinzufügen die folgenden Schritte aus:

    1. Geben Sie im Feld Beschreibung einen Namen für den syslog-Server ein.
    2. Geben Sie im Feld Adresse die IP-Adresse des syslog-Servers ein.
    3. Wählen Sie in der Liste Protokoll die Option UDP oder TCP aus.
    4. Geben Sie im Feld Port die Portnummer für den syslog-Server ein.
    5. Wählen Sie in der Liste TLS die Option Deaktiviert aus.
    6. Klicken Sie auf OK.

  5. Wählen Sie im Dialogfeld Ereignisse die Ereignisse aus, die an Ihren syslog-Server gesendet werden sollen.

  6. Konfigurieren Sie das Repository für die Ereignisweiterleitung, um die erforderlichen Ereignisse für die Weiterleitung anzugeben.

  7. Aktivieren Sie alle Optionen unter Auditierbare Ereignisse und Traffic-Ereignisse.

  8. Klicken Sie auf Speichern.

Google SecOps-Weiterleiter für die Aufnahme von Illumio Core-Protokollen konfigurieren

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
  2. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  3. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  5. Geben Sie im Feld Logtyp die Option Illumio Core an.
  6. Wählen Sie Syslog als Typ des Collectors aus.
  7. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
    • Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem der Collector syslog-Daten empfängt.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
  8. Klicken Sie auf Senden.

Weitere Informationen zu Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.