收集 Illumio Core 日志

支持的语言:

本文档介绍了如何使用 Google Security Operations 转发器收集 Illumio Core 日志。

如需了解详情,请参阅将数据提取到 Google SecOps

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ILLUMIO_CORE 注入标签的解析器。

创建日志组

  1. Policy Console Engine (PCE) 网络控制台菜单中,依次前往 Settings > Event settings
  2. 点击添加。系统会显示活动设置 - 添加活动转发窗口。
  3. 点击添加代码库
  4. 在随即显示的添加代码库对话框中,执行以下操作:

    1. 说明字段中,输入 syslog 服务器的名称。
    2. 地址字段中,输入 syslog 服务器的 IP 地址。
    3. 协议列表中,选择 UDPTCP 作为协议。
    4. 端口字段中,输入 syslog 服务器的端口号。
    5. TLS 列表中,选择已停用
    6. 点击确定
  5. 在随即显示的事件对话框中,选择要发送到 syslog 服务器的事件。

  6. 配置事件转发代码库,以指定要转发的必需事件。

  7. 启用可审核的事件流量事件中的所有选项。

  8. 点击保存

配置 Google SecOps 转发器以注入 Illumio Core 日志

  1. 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新转发器
  2. 转发器名称字段中,输入转发器的唯一名称。
  3. 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
  4. 收集器名称字段中,输入收集器的唯一名称。
  5. 日志类型字段中,指定 Illumio Core
  6. 选择 Syslog 作为收集器类型
  7. 配置以下输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,并监听 syslog 数据。
  8. 点击提交

如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。