Illumio Core-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Illumio Core-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label ILLUMIO_CORE.

Loggruppe erstellen

  1. Rufen Sie im Menü der Policy Console Engine (PCE)-Webkonsole Einstellungen > Ereigniseinstellungen auf.
  2. Klicken Sie auf Hinzufügen. Das Fenster Ereigniseinstellungen – Ereignisweiterleitung hinzufügen wird angezeigt.
  3. Klicken Sie auf Repository hinzufügen.
  4. Führen Sie im angezeigten Dialogfeld Repository hinzufügen die folgenden Schritte aus:

    1. Geben Sie im Feld Beschreibung einen Namen für den Syslog-Server ein.
    2. Geben Sie im Feld Adresse die IP-Adresse des Syslog-Servers ein.
    3. Wählen Sie in der Liste Protokoll das Protokoll UDP oder TCP aus.
    4. Geben Sie im Feld Port die Portnummer für den Syslog-Server ein.
    5. Wählen Sie in der Liste TLS die Option Deaktiviert aus.
    6. Klicken Sie auf OK.
  5. Wählen Sie im angezeigten Dialogfeld Ereignisse die Ereignisse aus, die Sie an Ihren Syslog-Server senden möchten.

  6. Konfigurieren Sie das Repository für die Ereignisweiterleitung, um die erforderlichen Ereignisse für die Weiterleitung anzugeben.

  7. Aktivieren Sie alle Optionen unter Prüfbare Ereignisse und Traffic-Ereignisse.

  8. Klicken Sie auf Speichern.

Google SecOps-Forwarder für die Aufnahme von Illumio Core-Logs konfigurieren

  1. Wählen Sie im Google SecOps-Menü Einstellungen > Weiterleitungen > Neue Weiterleitung hinzufügen aus.
  2. Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
  3. Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
  4. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  5. Geben Sie im Feld Logtyp Illumio Core an.
  6. Wählen Sie Syslog als Collector-Typ aus.
  7. Konfigurieren Sie die folgenden Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
  8. Klicken Sie auf Senden.

Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.