Recolha registos do Illumio Core

Compatível com:

Este documento descreve como pode recolher os registos do Illumio Core através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google SecOps.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento ILLUMIO_CORE.

Crie um grupo de registos

  1. No menu da consola Web do Policy Console Engine (PCE), aceda a Definições > Definições de eventos.
  2. Clique em Adicionar. É apresentada a janela Definições de eventos – adicione o encaminhamento de eventos.
  3. Clique em Adicionar repositório.

  4. Na caixa de diálogo Adicionar repositório apresentada, faça o seguinte:

    1. No campo Descrição, introduza um nome para o servidor Syslog.
    2. No campo Endereço, introduza o endereço IP do servidor Syslog.
    3. Na lista Protocolo, selecione UDP ou TCP como protocolo.
    4. No campo Porta, introduza o número da porta do servidor syslog.
    5. Na lista TLS, selecione Desativado.
    6. Clique em OK

  5. Na caixa de diálogo Eventos apresentada, escolha os eventos que quer enviar para o seu servidor syslog.

  6. Configure o repositório de encaminhamento de eventos para especificar os eventos necessários para o encaminhamento.

  7. Ative todas as opções em Eventos auditáveis e Eventos de tráfego.

  8. Clique em Guardar.

Configure o encaminhador do Google SecOps para carregar registos do Illumio Core

  1. No menu do Google SecOps, selecione Definições > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  3. Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  4. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
  5. No campo Tipo de registo, especifique Illumio Core.
  6. Selecione Syslog como o tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir dados de syslog.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve dados syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google SecOps.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico do Google SecOps.