vRealize Log Insight erfasst Syslog-Meldungen von Check Point- und Palo Alto-Firewalls. Nachdem Sie die vRealize Log Insight-Datenquelle in vRealize Network Insight hinzugefügt haben, werden die Benachrichtigungen zu verworfenen Flows für diese Firewallgeräte in vRealize Network Insight angezeigt.

Hinweis: vRealize Network Insight unterstützt das Hinzufügen von vRealize Log Insight 8.0 bis 8.8. Stellen Sie sicher, dass Sie die unterstützte Version von vRealize Log Insight als Datenquelle in vRealize Network Insight hinzufügen.

Wenn die Firewallgeräte so konfiguriert sind, dass syslog-Nachrichten an vRealize Log Insight gesendet werden, und wenn eine Richtlinie auf diesen Geräten betroffen ist, filtert vRealize Log Insight Meldungen zu Aktionen des Typs „Verweigern“ oder „Verwerfen“ und sendet Benachrichtigungen an vRealize Network Insight. vRealize Network Insight verarbeitet diese Benachrichtigungen und erstellt Ereignisse zu verworfenen Flows mit Details zu Firewall und Flow.

Voraussetzungen

Stellen Sie sicher, dass Sie über die API-Benutzerberechtigungen zum Installieren, Konfigurieren und Verwalten des Inhaltspakets verfügen.

Installieren Sie das Inhaltspaket und aktivieren Sie Warnungen.

Prozedur

  1. Erstellen Sie einen vRealize Log Insight-Benutzer mit Zugriff auf die APIs von vRealize Log Insight oder verwenden Sie einen solchen wieder.
  2. Klicken Sie auf Einstellungen > Konten und Datenquellen.
  3. Klicken Sie auf Quelle hinzufügen.
  4. Klicken Sie auf Log Insight unter Protokollserver.
  5. Klicken Sie auf der Seite Neues Log Insight-Serverkonto oder Quelle hinzufügen auf Anweisungen neben der Seitenüberschrift. Ein Popup-Fenster wird angezeigt, in dem die Voraussetzungen für das Hinzufügen der vRealize Log Insight-Datenquelle und die Anweisungen zum Aktivieren der Webhook-URL für vRealize Log Insight bereitgestellt werden. Das Popup-Fenster in vRealize Network Insight, in dem die Voraussetzungen für das Hinzufügen der vRealize Log Insight-Datenquelle angezeigt werden.
  6. Geben Sie die erforderlichen Details ein.
    Name Beschreibung
    Collector-VM Wählen Sie die IP-Adresse der Datenerfassung aus, die Sie für den Datenerfassungsprozess bereitgestellt haben.
    IP-Adresse/FQDN Geben Sie die IP-Adresse oder den FQDN der Datenquelle ein.
    Benutzername Geben Sie den Benutzernamen ein, den Sie für diese bestimmte Datenquelle verwenden möchten.
    Kennwort Geben Sie das Kennwort für die Datenquelle an.
    Authentifizierungsanbieter Wählen Sie den entsprechenden Authentifizierungsanbieter für die von Ihnen bereitgestellten Anmeldedaten aus.
  7. Nach der Erstellung der Datenquelle wird ein Popup-Fenster angezeigt, in dem die Webhook-URL und die Schritte bereitgestellt werden, die zum Aktivieren dieser URL in vRealize Log Insight durchgeführt werden müssen. Kopieren Sie die Webhook-URL. Im Popup-Fenster werden die Webhook-URL und die Schritte zum Aktivieren der URL für vRealize Log Insight angezeigt.
    Hinweis: Die Webhook-URL, die nach dem Hinzufügen der Datenquelle generiert wird, wird in vRealize Log Insight verwendet.
  8. Melden Sie sich bei vRealize Log Insight mit den Anmeldedaten an, die zum Hinzufügen dieser Datenquelle verwendet wurden. Aktivieren Sie Warnungen in der vRealize Log Insight-Anwendung und wählen Sie den vorkonfigurierten Webhook aus. Um sicherzustellen, dass die Integration erfolgreich verlaufen ist, klicken Sie auf Testwarnung senden. Die vRealize Log Insight-Benutzeroberfläche mit Optionen zum Aktivieren von Warnungen und Auswählen des vorkonfigurierten Webhooks.