收集 Illumio Core 記錄

支援的國家/地區:

本文說明如何使用 Google Security Operations 轉送器收集 Illumio Core 記錄。

詳情請參閱「將資料擷取至 Google SecOps」。

擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 ILLUMIO_CORE 攝入標籤的剖析器。

建立記錄群組

  1. Policy Console Engine (PCE) 網頁控制台選單中,依序前往「Settings」>「Event settings」
  2. 按一下「Add」(新增)。系統隨即會顯示「事件設定 - 新增事件轉送」視窗。
  3. 按一下「新增存放區」
  4. 在隨即顯示的「Add repository」(新增存放區) 對話方塊中,執行下列操作:

    1. 在「Description」(說明) 欄位中,輸入系統記錄伺服器的名稱。
    2. 在「Address」(位址) 欄位中,輸入系統記錄伺服器的 IP 位址。
    3. 在「Protocol」(通訊協定) 清單中,選取「UDP」或「TCP」做為通訊協定。
    4. 在「Port」(通訊埠) 欄位中,輸入系統記錄伺服器的通訊埠編號。
    5. 在「TLS」清單中,選取「已停用」
    6. 按一下「確定」
  5. 在隨即顯示的「事件」對話方塊中,選擇要傳送至系統記錄伺服器的事件。

  6. 設定事件轉送存放區,指定要轉送的必要事件。

  7. 啟用「可稽核的事件」和「流量事件」中的所有選項。

  8. 按一下 [儲存]

設定 Google SecOps 轉送器,擷取 Illumio Core 記錄

  1. 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」
  2. 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
  3. 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
  4. 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
  5. 在「記錄類型」欄位中,指定 Illumio Core
  6. 選取「Syslog」做為「收集器類型」
  7. 設定下列輸入參數:
    • 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
    • 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
    • 連接埠:指定收集器所在並監聽系統記錄檔資料的目標連接埠。
  8. 按一下「提交」

如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google SecOps 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題,請與 Google SecOps 支援團隊聯絡。