Illumio Core ログを収集する

このドキュメントでは、Google Security Operations フォワーダーを使用して Illumio Core のログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル ILLUMIO_CORE が付加されたパーサーに適用されます。

ロググループを作成する

1. Policy Console Engine（PCE）ウェブ コンソールのメニューで、[設定] > [イベント設定] に移動します。
2. [追加] をクリックします。[イベント設定 - イベント転送を追加] ウィンドウが表示されます。
3. [リポジトリを追加] をクリックします。

4. 表示された [リポジトリを追加] ダイアログで、次の操作を行います。

   1. [説明] フィールドに、Syslog サーバーの名前を入力します。
   2. [アドレス] フィールドに、Syslog サーバーの IP アドレスを入力します。
   3. [プロトコル] リストで、プロトコルとして [UDP] または [TCP] を選択します。
   4. [ポート] フィールドに、Syslog サーバーのポート番号を入力します。
   5. [TLS] リストで、[無効] を選択します。
   6. [OK] をクリックします。

5. 表示された [イベント] ダイアログで、Syslog サーバーに送信するイベントを選択します。

6. 転送に必要なイベントを指定するイベント転送リポジトリを構成します。

7. [監査可能なイベント] と [トラフィック イベント] のすべてのオプションを有効にします。

8. [保存] をクリックします。

Illumio Core ログを取り込むように Google SecOps フォワーダーを構成する

1. Google SecOps メニューで、[設定] > [フォワーダー] > [新しいフォワーダーを追加] を選択します。
2. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
3. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加] ウィンドウが表示されます。
4. [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
5. [ログタイプ] フィールドに Illumio Core を指定します。
6. [コレクタ タイプ] として [Syslog] を選択します。
7. 次の入力パラメータを構成します。
   • プロトコル: コレクタが Syslog データをリッスンするために使用する接続プロトコルを指定します。
   • アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
   • ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
8. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google SecOps UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。