Coletar registros do Illumio Core

Compatível com:

Neste documento, descrevemos como coletar os registros do Illumio Core usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão ILLUMIO_CORE.

Criar um grupo de registros

  1. No menu do console da Web do Policy Console Engine (PCE), acesse Configurações > Configurações de eventos.
  2. Clique em Adicionar. A janela Configurações de evento – adicionar encaminhamento de eventos é exibida.
  3. Clique em Adicionar repositório.
  4. Na caixa de diálogo Adicionar repositório, faça o seguinte:

    1. No campo Descrição, insira um nome para o servidor syslog.
    2. No campo Endereço, insira o endereço IP do servidor syslog.
    3. Na lista Protocolo, selecione UDP ou TCP.
    4. No campo Porta, insira o número da porta do servidor syslog.
    5. Na lista TLS, selecione Desativado.
    6. Clique em OK.
  5. Na caixa de diálogo Eventos, escolha os eventos que você quer enviar para o servidor syslog.

  6. Configure o repositório de encaminhamento de eventos para especificar os eventos necessários para o encaminhamento.

  7. Ative todas as opções em Eventos auditáveis e Eventos de tráfego.

  8. Clique em Salvar.

Configurar o encaminhador do Google SecOps para ingerir registros do Illumio Core

  1. No menu do Google SecOps, selecione Configurações > Encaminhadores > Adicionar novo encaminhador.
  2. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  3. Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  4. No campo Nome do coletor, insira um nome exclusivo para ele.
  5. No campo Tipo de registro, especifique Illumio Core.
  6. Selecione Syslog como o Tipo de coletor.
  7. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para ouvir dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e escuta os dados do syslog.
  8. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.