收集 Illumio Core 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 转发器收集 Illumio Core 日志。
如需了解详情,请参阅将数据提取到 Google SecOps。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ILLUMIO_CORE
注入标签的解析器。
创建日志组
- 在 Policy Console Engine (PCE) 网站控制台菜单中,依次选择设置 > 事件设置。
- 点击添加。系统随即会显示事件设置 - 添加事件转发窗口。
- 点击添加代码库。
在显示的添加代码库对话框中,执行以下操作:
- 在说明字段中,为 syslog 服务器输入名称。
- 在地址字段中,输入 syslog 服务器的 IP 地址。
- 在协议列表中,选择 UDP 或 TCP 作为协议。
- 在端口字段中,输入 syslog 服务器的端口号。
- 在 TLS 列表中,选择 Disabled。
- 点击确定
在随即显示的事件对话框中,选择要发送到 syslog 服务器的事件。
配置事件转发仓库,以指定要转发的必需事件。
在可审核事件和流量事件中启用所有选项。
点击保存。
配置 Google SecOps 转发器以提取 Illumio Core 日志
- 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新的转发器。
- 在转发器名称字段中,为转发器输入一个唯一名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 在日志类型字段中,指定
Illumio Core
。 - 选择 Syslog 作为收集器类型。
- 配置以下输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。