Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione
ILLUMIO_CORE.
Crea un gruppo di log
Nel menu della console web Policy Console Engine (PCE), vai a Impostazioni > Impostazioni eventi.
Fai clic su Aggiungi. Viene visualizzata la finestra Impostazioni evento - Aggiungi inoltro eventi.
Fai clic su Aggiungi repository.
Nella finestra di dialogo Aggiungi repository visualizzata, procedi nel seguente modo:
Nel campo Descrizione, inserisci un nome per il server syslog.
Nel campo Indirizzo, inserisci l'indirizzo IP del server syslog.
Nell'elenco Protocollo, seleziona UDP o TCP come protocollo.
Nel campo Porta, inserisci il numero di porta per il server syslog.
Nell'elenco TLS, seleziona Disabilitato.
Fai clic su Ok.
Nella finestra di dialogo Eventi visualizzata, scegli gli eventi che vuoi inviare al server syslog.
Configura il repository di inoltro degli eventi per specificare gli eventi richiesti per l'inoltro.
Attiva tutte le opzioni in Eventi controllabili e Eventi di traffico.
Fai clic su Salva.
Configura il forwarder Google SecOps per importare i log di Illumio Core
Nel menu Google SecOps, seleziona Impostazioni > Forwarder > Aggiungi nuovo forwarder.
Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
Nel campo Nome del raccoglitore, inserisci un nome univoco per il raccoglitore.
Nel campo Tipo di log, specifica Illumio Core.
Seleziona Syslog come Tipo di raccoglitore.
Configura i seguenti parametri di input:
Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare
i dati syslog.
Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore
e ascolta i dati syslog.
Porta: specifica la porta di destinazione in cui risiede e ascolta il raccoglitore
i dati syslog.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["Collect Illumio Core logs \nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document describes how you can collect the Illumio Core logs by using a Google Security Operations forwarder.\n\nFor more information, see [Data ingestion to Google SecOps](/chronicle/docs/data-ingestion-flow).\n\nAn ingestion label identifies the parser which normalizes raw log data to structured\nUDM format. The information in this document applies to the parser with the\n`ILLUMIO_CORE` ingestion label.\n\nCreate a log group\n\n1. In the **Policy Console Engine (PCE)** web console menu, go to **Settings \\\u003e Event settings**.\n2. Click **Add** . The **Event settings -- add event forwarding** window appears.\n3. Click **Add repository**.\n4. In the **Add repository** dialog that appears, do the following:\n\n 1. In the **Description** field, enter a name for the syslog server.\n 2. In the **Address** field, enter the IP address of the syslog server.\n 3. In the **Protocol** list, select **UDP** or **TCP** as a protocol.\n 4. In the **Port** field, enter the port number for the syslog server.\n 5. In the **TLS** list, select **Disabled**.\n 6. Click **Ok**\n5. In the **Events** dialog that appears, choose the events you want to send to your syslog server.\n\n6. Configure the event forwarding repository to specify the required events for forwarding.\n\n7. Enable all options in **Auditable events** and **Traffic events**.\n\n8. Click **Save**.\n\n | **Note:** TLS is not supported for this onboarding.\n\nConfigure the Google SecOps forwarder to ingest Illumio Core logs\n\n1. In the Google SecOps menu, select **Settings \\\u003e Forwarders \\\u003e Add new forwarder**.\n2. In the **Forwarder name** field, enter a unique name for the forwarder.\n3. Click **Submit** . The forwarder is added and the **Add collector configuration** window appears.\n4. In the **Collector name** field, enter a unique name for the collector.\n5. In the **Log type** field, specify `Illumio Core`.\n6. Select **Syslog** as the **Collector type**.\n7. Configure the following input parameters:\n - **Protocol**: specify the connection protocol that the collector uses to listen to syslog data.\n - **Address**: specify the target IP address or hostname where the collector resides and listens to syslog data.\n - **Port**: specify the target port where the collector resides and listens to syslog data.\n8. Click **Submit**.\n\nFor more information about the Google SecOps forwarders, see [Manage forwarder configurations through the Google SecOps UI](/chronicle/docs/install/forwarder-management-configurations).\n\nIf you encounter issues when you create forwarders, contact [Google SecOps support](https://console.cloud.google.com/support)."]]