Recopila registros de Illumio Core

Compatible con:

En este documento, se describe cómo puedes recopilar los registros de Illumio Core con un reenvío de Google Security Operations.

Para obtener más información, consulta Ingesta de datos en Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia ILLUMIO_CORE.

Crea un grupo de registros

  1. En el menú de la consola web de Policy Console Engine (PCE), ve a Settings > Event settings.
  2. Haz clic en Agregar. Aparecerá la ventana Configuración de eventos: agrega el reenvío de eventos.
  3. Haz clic en Agregar repositorio.
  4. En el cuadro de diálogo Agregar repositorio que aparece, haz lo siguiente:

    1. En el campo Descripción, ingresa un nombre para el servidor syslog.
    2. En el campo Dirección, ingresa la dirección IP del servidor syslog.
    3. En la lista Protocolo, selecciona UDP o TCP como protocolo.
    4. En el campo Puerto, ingresa el número de puerto del servidor syslog.
    5. En la lista TLS, selecciona Inhabilitado.
    6. Haz clic en Aceptar.
  5. En el cuadro de diálogo Eventos que aparece, elige los eventos que deseas enviar a tu servidor syslog.

  6. Configura el repositorio de reenvío de eventos para especificar los eventos necesarios para el reenvío.

  7. Habilita todas las opciones en Auditable events y Traffic events.

  8. Haz clic en Guardar.

Configura el reenvío de Google SecOps para transferir registros de Illumio Core

  1. En el menú de Google SecOps, selecciona Configuración > Reenviadores > Agregar nuevo reenviador.
  2. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  3. Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  4. En el campo Nombre del recopilador, ingresa un nombre único para el recopilador.
  5. En el campo Tipo de registro, especifica Illumio Core.
  6. Selecciona Syslog como el Tipo de recopilador.
  7. Configura los siguientes parámetros de entrada:
    • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  8. Haz clic en Enviar.

Para obtener más información sobre los retransmisores de Google SecOps, consulta Administra la configuración de retransmisores a través de la IU de Google SecOps.

Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de SecOps de Google.