Recoger registros de Illumio Core

Disponible en:

En este documento se describe cómo puede recoger los registros de Illumio Core mediante un reenviador de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google SecOps.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión ILLUMIO_CORE.

Crear un grupo de registros

  1. En el menú de la consola web Policy Console Engine (PCE), ve a Configuración > Configuración de eventos.
  2. Haz clic en Añadir. Aparecerá la ventana Configuración de eventos: añadir reenvío de eventos.
  3. Haz clic en Añadir repositorio.

  4. En el cuadro de diálogo Añadir repositorio que aparece, haz lo siguiente:

    1. En el campo Descripción, introduce un nombre para el servidor syslog.
    2. En el campo Dirección, introduce la dirección IP del servidor syslog.
    3. En la lista Protocolo, selecciona UDP o TCP.
    4. En el campo Puerto, introduce el número de puerto del servidor syslog.
    5. En la lista TLS, selecciona Inhabilitado.
    6. Haz clic en Aceptar.

  5. En el cuadro de diálogo Eventos que aparece, elija los eventos que quiera enviar a su servidor syslog.

  6. Configure el repositorio de reenvío de eventos para especificar los eventos que se deben reenviar.

  7. Habilita todas las opciones de Eventos auditables y Eventos de tráfico.

  8. Haz clic en Guardar.

Configurar el reenviador de Google SecOps para ingerir registros de Illumio Core

  1. En el menú de Google SecOps, selecciona Configuración > Reenvíos > Añadir nuevo reenvío.
  2. En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
  3. Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
  4. En el campo Nombre del recolector, introduzca un nombre único para el recolector.
  5. En el campo Tipo de registro, especifica Illumio Core.
  6. Seleccione Syslog como Tipo de recogida.
  7. Configure los siguientes parámetros de entrada:
    • Protocol: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
    • Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  8. Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google SecOps, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google SecOps.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de SecOps de Google.