收集 Illumio Core 記錄

本文說明如何使用 Google Security Operations 轉送器收集 Illumio Core 記錄。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 ILLUMIO_CORE 攝入標籤的剖析器。

建立記錄群組

1. 在 Policy Console Engine (PCE) 網頁控制台選單中，依序前往「Settings」>「Event settings」。
2. 按一下「Add」(新增)。系統隨即會顯示「事件設定 - 新增事件轉送」視窗。
3. 按一下「新增存放區」。

4. 在隨即顯示的「Add repository」(新增存放區) 對話方塊中，執行下列操作：

   1. 在「Description」(說明) 欄位中，輸入系統記錄伺服器的名稱。
   2. 在「Address」(位址) 欄位中，輸入系統記錄伺服器的 IP 位址。
   3. 在「Protocol」(通訊協定) 清單中，選取「UDP」或「TCP」做為通訊協定。
   4. 在「Port」(通訊埠) 欄位中，輸入系統記錄伺服器的通訊埠編號。
   5. 在「TLS」清單中，選取「已停用」。
   6. 按一下「確定」。

5. 在隨即顯示的「事件」對話方塊中，選擇要傳送至系統記錄伺服器的事件。

6. 設定事件轉送存放區，指定要轉送的必要事件。

7. 啟用「可稽核的事件」和「流量事件」中的所有選項。

8. 按一下 [儲存]。

設定 Google SecOps 轉送器，擷取 Illumio Core 記錄

1. 在 Google SecOps 選單中，依序選取「設定」>「轉送器」>「新增轉送器」。
2. 在「轉寄者名稱」欄位中，輸入轉寄者的專屬名稱。
3. 按一下「提交」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
4. 在「Collector name」(收集器名稱) 欄位中，輸入收集器的專屬名稱。
5. 在「記錄類型」欄位中，指定 Illumio Core。
6. 選取「Syslog」做為「收集器類型」。
7. 設定下列輸入參數：
   • 通訊協定：指定收集器用來監聽系統記錄資料的連線通訊協定。
   • 地址：指定收集器所在位置的目標 IP 位址或主機名稱，並監聽系統記錄資料。
   • 連接埠：指定收集器所在並監聽系統記錄檔資料的目標連接埠。
8. 按一下「提交」。

如要進一步瞭解 Google SecOps 轉送器，請參閱「透過 Google SecOps 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題，請與 Google SecOps 支援團隊聯絡。