vRealize Log Insight collecte des messages Syslog à partir des pare-feu Check Point et Palo Alto. Une fois que vous avez ajouté la source de données vRealize Log Insight dans vRealize Network Insight Cloud, les notifications de flux abandonnés pour ces périphériques de pare-feu sont affichées dans vRealize Network Insight Cloud.

Lorsque les périphériques de pare-feu sont configurés pour envoyer des messages Syslog à vRealize Log Insight et lorsqu'une stratégie est déclenchée sur ces périphériques, vRealize Log Insight filtre les messages d'action de refus/rejet et envoie des notifications à vRealize Network Insight Cloud. vRealize Network Insight Cloud consomme ces notifications et crée des événements de flux abandonnés avec les détails de pare-feu et de flux.

Conditions préalables

Assurez-vous que vous disposez des autorisations d'utilisateur d'API pour installer, configurer et gérer le pack de contenu.

Installez le pack de contenu et activez les alertes.

Procédure

  1. Créez ou réutilisez un utilisateur de vRealize Log Insight ayant accès aux API de vRealize Log Insight.
  2. Accédez à Paramètres > Comptes et sources de données.
  3. Cliquez sur Ajouter une source.
  4. Cliquez sur Log Insight sous Serveurs de journaux.
  5. Sur la page Ajouter un nouveau compte ou source Log Insight Server, cliquez sur Instructions à côté du titre de la page. Une fenêtre contextuelle s'affiche et fournit les conditions préalables à l'ajout de la source de données vRealize Log Insight et les instructions d'activation de l'URL de Webhook sur vRealize Log Insight.
  6. Entrez les informations requises.
    Nom Description
    VM de collecteur Sélectionnez l'adresse IP du collecteur de données que vous avez déployé pour le processus de collecte de données.
    Adresse IP/nom de domaine complet Entrez l'adresse IP ou le nom de domaine complet de la source de données.
    Nom d'utilisateur Entrez le nom d'utilisateur que vous souhaitez utiliser pour une source de données particulière.
    Mot de passe Entrez le mot de passe de la source de données.
    Fournisseur d'authentification Sélectionnez le fournisseur d'authentification correspondant aux informations d'identification que vous avez fournies.
  7. Une fois la source de données créée, une fenêtre contextuelle s'affiche et fournit l'URL de Webhook et les étapes à effectuer pour activer cette URL sur vRealize Log Insight. Copiez l'URL de Webhook.
    Note : L'URL de Webhook, qui est générée après l'ajout de la source de données, est utilisée dans vRealize Log Insight.
  8. Connectez-vous à vRealize Log Insight à l'aide des informations d'identification qui ont été utilisées pour ajouter cette source de données. Activez les alertes dans l'application vRealize Log Insight et sélectionnez le Webhook préconfiguré. Envoyez une alerte de test pour vous assurer que l'intégration a réussi.