收集 FireEye NX 日志

本文档介绍了如何使用 Google 安全运营转发器收集 FireEye 网络安全和取证 (NX) 日志。

如需了解详情，请参阅将数据提取到 Google SecOps 概览。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIREEYE_NX 注入标签的解析器。

配置 FireEye NX

1. 登录 FireEye NX 界面。
2. 依次前往设置 > 通知。
3. 如需启用 syslog 通知配置，请选中 rsyslog 复选框。
4. 点击添加 rsyslog 服务器。
5. 在名称字段中，输入一个名称来标记 FireEye 与 Google SecOps 实例之间的连接。
6. 在 IP 地址字段中，输入 Google SecOps 转发器 IP 地址。
7. 选中已启用复选框。
8. 在传送列表中，选择按事件。
9. 在通知列表中，选择所有事件。
10. 在 Format 列表中，选择 CEF。
11. 在账号字段中，请勿输入任何信息。
12. 在协议列表中，选择相应协议。

13. 点击添加新的 rsyslog 服务器。

配置 Google SecOps 转发器以提取 FireEye NX 日志

1. 在 Google SecOps 菜单中，依次选择设置 > 转发器 > 添加新的转发器。
2. 在转发器名称字段中，为转发器输入一个唯一名称。
3. 点击提交。系统会添加转发器，并显示添加收集器配置窗口。
4. 在收集器名称字段中，为收集器输入一个唯一名称。
5. 在日志类型字段中，指定 FireEye NX。
6. 选择 Syslog 作为收集器类型。
7. 配置以下输入参数：
   • 协议：指定收集器用于监听 syslog 数据的连接协议。
   • 地址：指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
   • 端口：指定收集器所在的目标端口，以及收集器监听 syslog 数据的端口。
8. 点击提交。

如需详细了解 Google SecOps 转发器，请参阅通过 Google SecOps 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google SecOps 支持团队联系。