Collecter les journaux Illumio Core

Compatible avec:

Ce document explique comment collecter les journaux Illumio Core à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion ILLUMIO_CORE.

Créer un groupe de journaux

  1. Dans le menu de la console Web Policy Console Engine (PCE), accédez à Settings > Event settings (Paramètres > Paramètres des événements).
  2. Cliquez sur Ajouter. La fenêtre Paramètres des événements - ajouter le transfert d'événements s'affiche.
  3. Cliquez sur Ajouter un dépôt.

  4. Dans la boîte de dialogue Ajouter un dépôt qui s'affiche, procédez comme suit:

    1. Dans le champ Description, saisissez un nom pour le serveur syslog.
    2. Dans le champ Address (Adresse), saisissez l'adresse IP du serveur syslog.
    3. Dans la liste Protocole, sélectionnez UDP ou TCP comme protocole.
    4. Dans le champ Port, saisissez le numéro de port du serveur syslog.
    5. Dans la liste TLS, sélectionnez Désactivé.
    6. Cliquez sur OK.

  5. Dans la boîte de dialogue Événements qui s'affiche, choisissez les événements que vous souhaitez envoyer à votre serveur syslog.

  6. Configurez le dépôt de transfert d'événements pour spécifier les événements requis pour le transfert.

  7. Activez toutes les options dans Événements auditables et Événements de trafic.

  8. Cliquez sur Enregistrer.

Configurer le transpondeur Google SecOps pour ingérer les journaux Illumio Core

  1. Dans le menu Google SecOps, sélectionnez Paramètres > redirecteurs > Ajouter un redirecteur.
  2. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  3. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, spécifiez Illumio Core.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google SecOps.