Coletar registros do Illumio Core

Compatível com:

Este documento descreve como coletar os registros do Illumio Core usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência ILLUMIO_CORE.

Criar um grupo de registros

  1. No menu do console da Web do Policy Console Engine (PCE), acesse Configurações > Configurações de eventos.
  2. Clique em Adicionar. A janela Event settings – add event forwarding aparece.
  3. Clique em Adicionar repositório.

  4. Na caixa de diálogo Adicionar repositório que aparece, faça o seguinte:

    1. No campo Descrição, insira um nome para o servidor syslog.
    2. No campo Endereço, digite o endereço IP do servidor syslog.
    3. Na lista Protocolo, selecione UDP ou TCP como um protocolo.
    4. No campo Port, digite o número da porta do servidor syslog.
    5. Na lista TLS, selecione Desativado.
    6. Clique em Ok.

  5. Na caixa de diálogo Events que aparece, escolha os eventos que você quer enviar para o servidor syslog.

  6. Configure o repositório de encaminhamento de eventos para especificar os eventos necessários para o encaminhamento.

  7. Ative todas as opções em Eventos auditáveis e Eventos de tráfego.

  8. Clique em Salvar.

Configurar o forwarder do Google SecOps para ingerir registros do Illumio Core

  1. No menu Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
  4. No campo Nome do coletor, insira um nome exclusivo.
  5. No campo Tipo de registro, especifique Illumio Core.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e escuta os dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.