收集 Illumio Core 記錄

支援以下發布途徑:

本文說明如何使用 Google 安全作業轉送器收集 Illumio Core 記錄。

詳情請參閱「將資料匯入 Google SecOps」。

擷取標籤可識別剖析器,將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 ILLUMIO_CORE 攝入標籤的剖析器。

建立記錄檔群組

  1. Policy Console Engine (PCE) 網路控制台選單中,依序前往「設定」>「事件設定」
  2. 按一下「Add」(新增)。畫面上會顯示「事件設定 - 新增事件轉送」視窗。
  3. 按一下「新增存放區」

  4. 在隨即顯示的「Add repository」對話方塊中,執行下列操作:

    1. 在「Description」欄位中,輸入 Syslog 伺服器的名稱。
    2. 在「Address」欄位中,輸入 syslog 伺服器的 IP 位址。
    3. 在「Protocol」清單中,選取「UDP」或「TCP」做為通訊協定。
    4. 在「Port」欄位中,輸入 syslog 伺服器的通訊埠編號。
    5. 在「TLS」清單中,選取「已停用」
    6. 按一下「確定」

  5. 在隨即顯示的「事件」對話方塊中,選擇要傳送至 syslog 伺服器的事件。

  6. 設定事件轉送存放區,指定轉送所需的事件。

  7. 在「可稽核的事件」和「流量事件」中啟用所有選項。

  8. 按一下 [儲存]

設定 Google SecOps 轉送器,以便擷取 Illumio Core 記錄

  1. 在 Google SecOps 選單中,依序選取「設定」>「轉送器」>「新增轉送器」
  2. 在「轉介器名稱」欄位中,輸入轉介器的專屬名稱。
  3. 按一下「提交」。系統會新增轉送器,並顯示「Add collector configuration」視窗。
  4. 在「收集器名稱」欄位中,輸入收集器的專屬名稱。
  5. 在「Log type」欄位中指定 Illumio Core
  6. 選取「Syslog」做為「收集器類型」
  7. 設定下列輸入參數:
    • Protocol:指定收集器用來監聽 syslog 資料的連線通訊協定。
    • Address:指定收集器所在位置和收聽 syslog 資料的目標 IP 位址或主機名稱。
    • Port:指定收集器所在位置的目標連接埠,並監聽 syslog 資料。
  8. 按一下「提交」

如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google SecOps UI 管理轉送器設定」。

如果在建立轉送器時遇到問題,請與 Google SecOps 支援團隊聯絡。