Collecter les journaux Illumio Core

Compatible avec :

Ce document explique comment collecter les journaux Illumio Core à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion ILLUMIO_CORE.

Créer un groupe de journaux

  1. Dans le menu de la console Web Policy Console Engine (PCE), accédez à Settings > Event settings (Paramètres > Paramètres des événements).
  2. Cliquez sur Ajouter. La fenêtre Paramètres des événements – Ajouter le transfert d'événements s'affiche.
  3. Cliquez sur Ajouter un dépôt.
  4. Dans la boîte de dialogue Ajouter un dépôt qui s'affiche, procédez comme suit :

    1. Dans le champ Description, saisissez le nom du serveur syslog.
    2. Dans le champ Adresse, saisissez l'adresse IP du serveur syslog.
    3. Dans la liste Protocole, sélectionnez UDP ou TCP.
    4. Dans le champ Port, saisissez le numéro de port du serveur syslog.
    5. Dans la liste TLS, sélectionnez Désactivé.
    6. Cliquez sur OK.
  5. Dans la boîte de dialogue Événements qui s'affiche, sélectionnez les événements que vous souhaitez envoyer à votre serveur syslog.

  6. Configurez le dépôt de transfert d'événements pour spécifier les événements à transférer.

  7. Activez toutes les options dans Événements auditables et Événements de trafic.

  8. Cliquez sur Enregistrer.

Configurer le transmetteur Google SecOps pour ingérer les journaux Illumio Core

  1. Dans le menu Google SecOps, sélectionnez Settings> Forwarders> Add new forwarder (Paramètres > Relais > Ajouter un relais).
  2. Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
  3. Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  4. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  5. Dans le champ Type de journal, spécifiez Illumio Core.
  6. Sélectionnez Syslog comme type de collecteur.
  7. Configurez les paramètres d'entrée suivants :
    • Protocole : spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  8. Cliquez sur Envoyer.

Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations de répartiteurs dans l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google SecOps.