VMware Aria Operations for Logs erfasst Syslog-Meldungen von Check Point- und Palo Alto-Firewalls. Nachdem Sie die VMware Aria Operations for Logs-Datenquelle in VMware Aria Operations for Networks hinzugefügt haben, werden die Benachrichtigungen zu verworfenen Flows für diese Firewallgeräte in VMware Aria Operations for Networks angezeigt.

Hinweis: VMware Aria Operations for Networks unterstützt das Hinzufügen von VMware Aria Operations for Logs 8.0 bis 8.8. Stellen Sie sicher, dass Sie die unterstützte Version von VMware Aria Operations for Logs als Datenquelle in VMware Aria Operations for Networks hinzufügen.

Wenn die Firewallgeräte so konfiguriert sind, dass syslog-Nachrichten an VMware Aria Operations for Logs gesendet werden, und wenn eine Richtlinie auf diesen Geräten betroffen ist, filtert VMware Aria Operations for Logs Meldungen zu Aktionen des Typs „Verweigern“ oder „Verwerfen“ und sendet Benachrichtigungen an VMware Aria Operations for Networks. VMware Aria Operations for Networks verarbeitet diese Benachrichtigungen und erstellt Ereignisse zu verworfenen Flows mit Details zu Firewall und Flow.

Voraussetzungen

Stellen Sie sicher, dass Sie über die API-Benutzerberechtigungen zum Installieren, Konfigurieren und Verwalten des Inhaltspakets verfügen.

Installieren Sie das Inhaltspaket und aktivieren Sie Warnungen.

Prozedur

  1. Erstellen Sie einen VMware Aria Operations for Logs-Benutzer mit Zugriff auf die APIs von VMware Aria Operations for Logs oder verwenden Sie einen solchen wieder.
  2. Klicken Sie auf Einstellungen > Konten und Datenquellen.
  3. Klicken Sie auf Quelle hinzufügen.
  4. Klicken Sie unter Protokollserver auf Operations for Logs.
  5. Klicken Sie auf der Seite Neues Operations for Logs-Serverkonto oder Quelle hinzufügen neben der Seitenüberschrift auf Anweisungen. Ein Popup-Fenster wird angezeigt, in dem die Voraussetzungen für das Hinzufügen der VMware Aria Operations for Logs-Datenquelle und die Anweisungen zum Aktivieren der Webhook-URL für VMware Aria Operations for Logs bereitgestellt werden. Das Popup-Fenster in VMware Aria Operations for Networks, in dem die Voraussetzungen für das Hinzufügen der VMware Aria Operations for Logs-Datenquelle angezeigt werden.
  6. Geben Sie die erforderlichen Details ein.
    Name Beschreibung
    Collector-VM Wählen Sie die IP-Adresse der Datenerfassung aus, die Sie für den Datenerfassungsprozess bereitgestellt haben.
    IP-Adresse/FQDN Geben Sie die IP-Adresse oder den FQDN der Datenquelle ein.
    Benutzername Geben Sie den Benutzernamen ein, den Sie für diese bestimmte Datenquelle verwenden möchten.
    Kennwort Geben Sie das Kennwort für die Datenquelle an.
    Authentifizierungsanbieter Wählen Sie den entsprechenden Authentifizierungsanbieter für die von Ihnen bereitgestellten Anmeldedaten aus.
  7. Nach der Erstellung der Datenquelle wird ein Popup-Fenster angezeigt, in dem die Webhook-URL und die Schritte bereitgestellt werden, die zum Aktivieren dieser URL in VMware Aria Operations for Logs durchgeführt werden müssen. Kopieren Sie die Webhook-URL. Im Popup-Fenster werden die Webhook-URL und die Schritte zum Aktivieren der URL für VMware Aria Operations for Logs angezeigt.
    Hinweis: Die Webhook-URL, die nach dem Hinzufügen der Datenquelle generiert wird, wird in VMware Aria Operations for Logs verwendet.
  8. Melden Sie sich bei VMware Aria Operations for Logs mit den Anmeldedaten an, die zum Hinzufügen dieser Datenquelle verwendet wurden. Aktivieren Sie Warnungen in der VMware Aria Operations for Logs-Anwendung und wählen Sie den vorkonfigurierten Webhook aus. Um sicherzustellen, dass die Integration erfolgreich verlaufen ist, klicken Sie auf Testwarnung senden. Die VMware Aria Operations for Logs-Benutzeroberfläche mit Optionen zum Aktivieren von Warnungen und Auswählen des vorkonfigurierten Webhooks.