VMware Aria Operations for Logs 可从 Check Point 和 Palo Alto 防火墙收集 Syslog 消息。在 VMware Aria Operations for Networks 中添加 VMware Aria Operations for Logs 数据源后,将在 VMware Aria Operations for Networks 中显示这些防火墙设备的丢弃的流通知。

注: VMware Aria Operations for Networks 支持添加 VMware Aria Operations for Logs 8.0 到 8.8。请确保在 VMware Aria Operations for Networks 中将受支持版本的 VMware Aria Operations for Logs 添加为数据源。

如果将防火墙设备配置为向 VMware Aria Operations for Logs 发送 Syslog 消息,并且这些设备上的任何策略受到影响,则 VMware Aria Operations for Logs 会筛选拒绝/丢弃操作消息并向 VMware Aria Operations for Networks 发送通知。VMware Aria Operations for Networks 使用这些通知,并创建具有防火墙和流详细信息的丢弃的流事件。

前提条件

确保您具有安装、配置和管理内容包的 API 用户权限。

安装内容包并启用警示。

过程

  1. 创建或重用有权访问 VMware Aria Operations for Logs API 的 VMware Aria Operations for Logs 用户。
  2. 转到设置 > 帐户和数据源
  3. 单击添加源
  4. 单击日志服务器下的 Operations for Logs
  5. 添加新的 Operations for Logs 服务器帐户或源页面上,单击页面标题旁边的说明。将显示一个弹出窗口,其中提供了添加 VMware Aria Operations for Logs 数据源的必备条件以及在 VMware Aria Operations for Logs 上启用 Webhook URL 的说明。VMware Aria Operations for Networks 上的弹出窗口,其中显示了添加 VMware Aria Operations for Logs 数据源的必备条件。
  6. 输入所需的详细信息。
    名称 描述
    收集器虚拟机 选择为数据收集过程部署的数据收集器的 IP 地址。
    IP 地址/FQDN 输入数据源的 IP 地址或 FQDN。
    用户名 输入要用于特定数据源的用户名。
    密码 输入数据源的密码。
    身份验证提供程序 为您提供的凭据选择相应的身份验证提供程序。
  7. 创建数据源后,将显示一个弹出窗口,其中提供了 Webhook URL 以及在 VMware Aria Operations for Logs 上启用此 URL 而必须执行的步骤。复制 Webhook URL。弹出窗口显示了 Webhook URL 以及在 VMware Aria Operations for Logs 上启用 URL 的步骤。
    注: 添加数据源后生成的 Webhook URL 在 VMware Aria Operations for Logs 中使用。
  8. 使用用于添加此数据源的凭据登录到 VMware Aria Operations for Logs。在 VMware Aria Operations for Logs 应用程序中启用警示,并选择预配置的 Webhook。要确保集成成功,请单击发送测试警示VMware Aria Operations for Logs 用户界面显示了用于启用警示和选择预配置 Webhook 的选项。