Recopila registros de Illumio Core

Compatible con:

En este documento, se describe cómo puedes recopilar los registros de Illumio Core con un reenviador de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia ILLUMIO_CORE.

Crea un grupo de registros

  1. En el menú de la consola web de Policy Console Engine (PCE), ve a Configuración > Configuración de eventos.
  2. Haz clic en Agregar. Aparecerá la ventana Configuración de eventos: agregar reenvío de eventos.
  3. Haz clic en Agregar repositorio.

  4. En el cuadro de diálogo Add repository que aparece, haz lo siguiente:

    1. En el campo Descripción, ingresa un nombre para el servidor de syslog.
    2. En el campo Dirección, ingresa la dirección IP del servidor syslog.
    3. En la lista Protocolo, selecciona UDP o TCP como protocolo.
    4. En el campo Puerto, ingresa el número de puerto del servidor syslog.
    5. En la lista TLS, selecciona Inhabilitada.
    6. Haz clic en Aceptar.

  5. En el cuadro de diálogo Events que aparece, elige los eventos que deseas enviar a tu servidor de syslog.

  6. Configura el repositorio de reenvío de eventos para especificar los eventos necesarios para el reenvío.

  7. Habilita todas las opciones en Eventos auditables y Eventos de tráfico.

  8. Haz clic en Guardar.

Configura el reenviador de Google SecOps para transferir los registros de Illumio Core

  1. En el menú de Google SecOps, selecciona Configuración > Reenvío > Agregar reenvío.
  2. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  3. Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
  4. En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
  5. En el campo Tipo de registro, especifica Illumio Core.
  6. Selecciona Syslog como el tipo de recopilador.
  7. Configura los siguientes parámetros de entrada:
    • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  8. Haz clic en Enviar.

Para obtener más información sobre los reenvíos de Google SecOps, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google SecOps.

Si tienes problemas para crear reenvío, comunícate con el equipo de asistencia de SecOps de Google.