收集 Illumio Core 日志

支持的平台:

本文档介绍了如何使用 Google Security Operations 转发器收集 Illumio Core 日志。

如需了解详情,请参阅将数据提取到 Google SecOps

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ILLUMIO_CORE 注入标签的解析器。

创建日志组

  1. Policy Console Engine (PCE) 网站控制台菜单中,依次选择设置 > 事件设置
  2. 点击添加。系统随即会显示事件设置 - 添加事件转发窗口。
  3. 点击添加代码库
  4. 在显示的添加代码库对话框中,执行以下操作:

    1. 说明字段中,为 syslog 服务器输入名称。
    2. 地址字段中,输入 syslog 服务器的 IP 地址。
    3. 协议列表中,选择 UDPTCP 作为协议。
    4. 端口字段中,输入 syslog 服务器的端口号。
    5. TLS 列表中,选择 Disabled
    6. 点击确定
  5. 在随即显示的事件对话框中,选择要发送到 syslog 服务器的事件。

  6. 配置事件转发仓库,以指定要转发的必需事件。

  7. 可审核事件流量事件中启用所有选项。

  8. 点击保存

配置 Google SecOps 转发器以提取 Illumio Core 日志

  1. 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新的转发器
  2. 转发器名称字段中,为转发器输入一个唯一名称。
  3. 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
  4. 收集器名称字段中,为收集器输入一个唯一名称。
  5. 日志类型字段中,指定 Illumio Core
  6. 选择 Syslog 作为收集器类型
  7. 配置以下输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
  8. 点击提交

如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。