VMware Aria Operations for Logs recopila mensajes de syslog de los firewalls de Check Point y Palo Alto. Después de agregar el origen de datos VMware Aria Operations for Logs en VMware Aria Operations for Networks, las notificaciones de flujos descartados de estos dispositivos de firewall se muestran en VMware Aria Operations for Networks.

Nota: VMware Aria Operations for Networks admite la adición de VMware Aria Operations for Logs 8.0 a la versión 8.8. Asegúrese de agregar la versión compatible de VMware Aria Operations for Logs como origen de datos en VMware Aria Operations for Networks.

Cuando los dispositivos de firewall están configurados para enviar mensajes de Syslog a VMware Aria Operations for Logs y cuando alguna directiva se ve afectada en estos dispositivos, VMware Aria Operations for Logs filtra los mensajes de acción de denegación/descarte y envía una notificación a VMware Aria Operations for Networks. VMware Aria Operations for Networks usa estas notificaciones y crea eventos de flujos descartados con detalles del flujo y del firewall.

Requisitos previos

Asegúrese de tener los permisos de usuario de API para instalar, configurar y administrar el paquete de contenido.

Instale el paquete de contenido y habilite las alertas.

Procedimiento

  1. Cree o reutilice un usuario de VMware Aria Operations for Logs con acceso a las API de VMware Aria Operations for Logs.
  2. Vaya a Configuración > Cuentas y orígenes de datos.
  3. Haga clic en Agregar origen.
  4. Haga clic en Operations for Logs en Servidores de registro.
  5. En la página Agregar una cuenta o un origen nuevos del servidor de Operations for Logs, haga clic en Instrucciones junto al título de la página. Se muestra una ventana emergente que proporciona los requisitos previos para agregar el origen de datos de VMware Aria Operations for Logs y las instrucciones para habilitar la URL de Webhook en VMware Aria Operations for Logs. Ventana emergente en VMware Aria Operations for Networks mostrando los requisitos previos para agregar el origen de datos de VMware Aria Operations for Logs.
  6. Proporcione los detalles requeridos.
    Nombre Descripción
    Máquina virtual de recopilador Seleccione la dirección IP del recopilador de datos que implementó para el proceso de recopilación de datos.
    Dirección IP/FQDN Introduzca la dirección IP o el FQDN del origen de datos.
    Nombre de usuario Introduzca el nombre de usuario que desea utilizar para un origen de datos determinado.
    Contraseña Introduzca la contraseña del origen de datos.
    Proveedor de autenticación Seleccione el proveedor de autenticación correspondiente para las credenciales que proporcionó.
  7. Una vez creado el origen de datos, se muestra una ventana emergente que proporciona la URL de Webhook y los pasos que se deben seguir para habilitar esta URL en VMware Aria Operations for Logs. Copie la URL de Webhook. Ventana emergente que muestra la URL del webhook y los pasos para habilitar la URL en VMware Aria Operations for Logs.
    Nota: La URL de Webhook, que se genera después de agregar el origen de datos, se utiliza en VMware Aria Operations for Logs.
  8. Inicie sesión en VMware Aria Operations for Logs con las credenciales utilizadas para agregar este origen de datos. Habilite las alertas en la aplicación VMware Aria Operations for Logs y seleccione el Webhook preconfigurado. Para asegurarse de que la integración se realice correctamente, haga clic en Enviar alerta de prueba. La interfaz de usuario de VMware Aria Operations for Logs muestra opciones para habilitar alertas y seleccionar el Webhook preconfigurado.