Raccogli i log di Illumio Core

Supportato in:

Questo documento descrive come raccogliere i log di Illumio Core utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione ILLUMIO_CORE.

Crea un gruppo di log

  1. Nel menu della console web Policy Console Engine (PCE), vai a Impostazioni > Impostazioni evento.
  2. Fai clic su Aggiungi. Viene visualizzata la finestra Impostazioni evento - Aggiungi inoltro evento.
  3. Fai clic su Aggiungi repository.
  4. Nella finestra di dialogo Aggiungi repository visualizzata, procedi nel seguente modo:

    1. Nel campo Descrizione, inserisci un nome per il server syslog.
    2. Nel campo Indirizzo, inserisci l'indirizzo IP del server syslog.
    3. Nell'elenco Protocollo, seleziona UDP o TCP come protocollo.
    4. Nel campo Porta, inserisci il numero di porta del server syslog.
    5. Nell'elenco TLS, seleziona Disattivato.
    6. Fai clic su Ok.
  5. Nella finestra di dialogo Eventi visualizzata, scegli gli eventi da inviare al server syslog.

  6. Configura il repository di inoltro degli eventi per specificare gli eventi richiesti per l'inoltro.

  7. Attiva tutte le opzioni in Eventi verificabili e Eventi di traffico.

  8. Fai clic su Salva.

Configura il forwarder di Google SecOps per importare i log di Illumio Core

  1. Nel menu Google SecOps, seleziona Impostazioni > Inoltro > Aggiungi nuovo inoltro.
  2. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  3. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  4. Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
  5. Nel campo Tipo di log, specifica Illumio Core.
  6. Seleziona Syslog come Tipo di collettore.
  7. Configura i seguenti parametri di input:
    • Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il collector e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
  8. Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google SecOps, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google SecOps.

Se riscontri problemi durante la creazione dei forwarder, contatta l'assistenza Google SecOps.