VMware Aria Operations for Logs collecte des messages Syslog à partir des pare-feu Check Point et Palo Alto. Une fois que vous avez ajouté la source de données VMware Aria Operations for Logs dans VMware Aria Operations for Networks, les notifications de flux abandonnés pour ces périphériques de pare-feu sont affichées dans VMware Aria Operations for Networks.

Note : VMware Aria Operations for Networks prend en charge l'ajout des versions 8.0 à 8.8 de VMware Aria Operations for Logs. Veillez à ajouter la version de VMware Aria Operations for Logs prise en charge en tant que source de données dans VMware Aria Operations for Networks.

Lorsque les périphériques de pare-feu sont configurés pour envoyer des messages Syslog à VMware Aria Operations for Logs et lorsqu'une stratégie est déclenchée sur ces périphériques, VMware Aria Operations for Logs filtre les messages d'action de refus/rejet et envoie des notifications à VMware Aria Operations for Networks. VMware Aria Operations for Networks consomme ces notifications et crée des événements de flux abandonnés avec les détails de pare-feu et de flux.

Conditions préalables

Assurez-vous que vous disposez des autorisations d'utilisateur d'API pour installer, configurer et gérer le pack de contenu.

Installez le pack de contenu et activez les alertes.

Procédure

  1. Créez ou réutilisez un utilisateur de VMware Aria Operations for Logs ayant accès aux API de VMware Aria Operations for Logs.
  2. Accédez à Paramètres > Comptes et sources de données.
  3. Cliquez sur Ajouter une source.
  4. Cliquez sur Operations for Logs sous Serveurs de journaux.
  5. Sur la page Ajouter un nouveau compte ou une nouvelle source de serveur Operations for Logs, cliquez sur Instructions à côté du titre de la page. Une fenêtre contextuelle s'affiche et fournit les conditions préalables à l'ajout de la source de données VMware Aria Operations for Logs et les instructions d'activation de l'URL de Webhook sur VMware Aria Operations for Logs. Fenêtre contextuelle sur VMware Aria Operations for Networks affichant les conditions préalables à l'ajout de la source de données VMware Aria Operations for Logs.
  6. Entrez les informations requises.
    Nom Description
    VM de collecteur Sélectionnez l'adresse IP du collecteur de données que vous avez déployé pour le processus de collecte de données.
    Adresse IP/nom de domaine complet Entrez l'adresse IP ou le nom de domaine complet de la source de données.
    Nom d'utilisateur Entrez le nom d'utilisateur que vous souhaitez utiliser pour une source de données particulière.
    Mot de passe Entrez le mot de passe de la source de données.
    Fournisseur d'authentification Sélectionnez le fournisseur d'authentification correspondant aux informations d'identification que vous avez fournies.
  7. Une fois la source de données créée, une fenêtre contextuelle s'affiche et fournit l'URL de Webhook et les étapes à effectuer pour activer cette URL sur VMware Aria Operations for Logs. Copiez l'URL Webhook. La fenêtre contextuelle affiche l'URL du Webhook et les étapes permettant de l'activer sur VMware Aria Operations for Logs.
    Note : L'URL de Webhook, qui est générée après l'ajout de la source de données, est utilisée dans VMware Aria Operations for Logs.
  8. Connectez-vous à VMware Aria Operations for Logs à l'aide des informations d'identification qui ont été utilisées pour ajouter cette source de données. Activez les alertes dans l'application VMware Aria Operations for Logs et sélectionnez le Webhook préconfiguré. Pour vous assurer de la réussite de l'intégration, cliquez sur Envoyer une alerte de test. L'interface utilisateur de VMware Aria Operations for Logs affiche les options pour activer les alertes et sélectionner le Webhook préconfiguré.