vRealize Log Insight erfasst Syslog-Meldungen von Check Point- und Palo Alto-Firewalls. Nachdem Sie die vRealize Log Insight-Datenquelle in vRealize Network Insight hinzugefügt haben, werden die Benachrichtigungen zu verworfenen Flows für diese Firewallgeräte in vRealize Network Insight angezeigt.

Wenn die Firewallgeräte so konfiguriert sind, dass syslog-Nachrichten an vRealize Log Insight gesendet werden, und wenn eine Richtlinie auf diesen Geräten betroffen ist, filtert vRealize Log Insight Meldungen zu Aktionen des Typs „Verweigern“ oder „Verwerfen“ und sendet Benachrichtigungen an vRealize Network Insight. vRealize Network Insight verarbeitet diese Benachrichtigungen und erstellt Ereignisse zu verworfenen Flows mit Details zu Firewall und Flow.

Voraussetzungen

Stellen Sie sicher, dass Sie über die API-Benutzerberechtigungen zum Installieren, Konfigurieren und Verwalten des Inhaltspakets verfügen.

Installieren Sie das Inhaltspaket und aktivieren Sie Warnungen.

Prozedur

  1. Erstellen Sie einen vRealize Log Insight-Benutzer mit Zugriff auf die APIs von vRealize Log Insight oder verwenden Sie einen solchen wieder.
  2. Klicken Sie auf Einstellungen > Konten und Datenquellen.
  3. Klicken Sie auf Quelle hinzufügen.
  4. Klicken Sie auf Log Insight unter Protokollserver.
  5. Klicken Sie auf der Seite Neues Log Insight-Serverkonto oder Quelle hinzufügen auf Anweisungen neben der Seitenüberschrift. Ein Popup-Fenster wird angezeigt, das die Voraussetzungen für das Hinzufügen der vRealize Log Insight-Datenquelle und die Anweisungen zum Aktivieren der Webhook-URL für vRealize Log Insight bereitstellt.
  6. Geben Sie die erforderlichen Details ein.
    Name Beschreibung
    Collector-VM Wählen Sie die IP-Adresse der Datenerfassung aus, die Sie für den Datenerfassungsprozess bereitgestellt haben.
    IP-Adresse/FQDN Geben Sie die IP-Adresse oder den FQDN der Datenquelle ein.
    Benutzername Geben Sie den Benutzernamen ein, den Sie für diese bestimmte Datenquelle verwenden möchten.
    Kennwort Geben Sie das Kennwort für die Datenquelle an.
    Authentifizierungsanbieter Wählen Sie den entsprechenden Authentifizierungsanbieter für die von Ihnen bereitgestellten Anmeldedaten aus.
  7. Nachdem die Datenquelle erstellt wurde, wird ein Popup-Fenster angezeigt, das die Webhook-URL und die Schritte bereitstellt, die ausgeführt werden müssen, um diese URL für vRealize Log Insight zu aktivieren. Kopieren Sie die Webhook-URL.
    Hinweis: Die Webhook-URL, die nach dem Hinzufügen der Datenquelle generiert wird, wird in vRealize Log Insight verwendet.
  8. Melden Sie sich bei vRealize Log Insight mit den Anmeldedaten an, die zum Hinzufügen dieser Datenquelle verwendet wurden. Aktivieren Sie Warnungen in der vRealize Log Insight-Anwendung und wählen Sie den vorkonfigurierten Webhook aus. Senden Sie eine Testwarnung, um sicherzustellen, dass die Integration erfolgreich ist.