收集 FireEye NX 日志

支持的语言:

本文档介绍了如何使用 Google Security Operations 转发器收集 FireEye Network Security and Forensics (NX) 日志。

如需了解详情,请参阅 Google SecOps 数据提取概览

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 FIREEYE_NX 注入标签的解析器。

配置 FireEye NX

  1. 登录 FireEye NX 界面。
  2. 依次前往设置 > 通知
  3. 如需启用 syslog 通知配置,请选中 rsyslog 复选框。
  4. 点击添加 rsyslog 服务器
  5. 名称字段中,输入一个名称来标记 FireEye 与 Google SecOps 实例之间的连接。
  6. IP 地址字段中,输入 Google SecOps 转发器的 IP 地址。
  7. 选中已启用复选框。
  8. 传送列表中,选择按事件
  9. 通知列表中,选择所有事件
  10. 格式列表中,选择 CEF
  11. 请勿在账号字段中输入任何信息。
  12. 协议列表中,选择相应协议。

  13. 点击 Add new rsyslog server

配置 Google SecOps 转发器以注入 FireEye NX 日志

  1. 在 Google SecOps 菜单中,依次选择设置 > 转发器 > 添加新转发器
  2. 转发器名称字段中,输入转发器的唯一名称。
  3. 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
  4. 收集器名称字段中,输入收集器的唯一名称。
  5. 日志类型字段中,指定 FireEye NX
  6. 选择 Syslog 作为收集器类型
  7. 配置以下输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,并监听 syslog 数据。
  8. 点击提交

如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。