Raccogliere i log di Illumio Core

Supportato in:

Questo documento descrive come raccogliere i log di Illumio Core utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione ILLUMIO_CORE.

Crea un gruppo di log

  1. Nel menu della console web Policy Console Engine (PCE), vai a Impostazioni > Impostazioni eventi.
  2. Fai clic su Aggiungi. Viene visualizzata la finestra Impostazioni evento - Aggiungi inoltro eventi.
  3. Fai clic su Aggiungi repository.
  4. Nella finestra di dialogo Aggiungi repository visualizzata, procedi nel seguente modo:

    1. Nel campo Descrizione, inserisci un nome per il server syslog.
    2. Nel campo Indirizzo, inserisci l'indirizzo IP del server syslog.
    3. Nell'elenco Protocollo, seleziona UDP o TCP come protocollo.
    4. Nel campo Porta, inserisci il numero di porta per il server syslog.
    5. Nell'elenco TLS, seleziona Disabilitato.
    6. Fai clic su Ok.
  5. Nella finestra di dialogo Eventi visualizzata, scegli gli eventi che vuoi inviare al server syslog.

  6. Configura il repository di inoltro degli eventi per specificare gli eventi richiesti per l'inoltro.

  7. Attiva tutte le opzioni in Eventi controllabili e Eventi di traffico.

  8. Fai clic su Salva.

Configura il forwarder Google SecOps per importare i log di Illumio Core

  1. Nel menu Google SecOps, seleziona Impostazioni > Forwarder > Aggiungi nuovo forwarder.
  2. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  3. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  4. Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
  5. Nel campo Tipo di log, specifica Illumio Core.
  6. Seleziona Syslog come Tipo di raccoglitore.
  7. Configura i seguenti parametri di input:
    • Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede e ascolta il raccoglitore i dati syslog.
  8. Fai clic su Invia.

Per saperne di più sui forwarder Google SecOps, consulta Gestire le configurazioni dei forwarder tramite la UI di Google SecOps.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google SecOps.