VMware Aria Operations for Logs の追加

VMware Aria Operations for Logs では、Check Point ファイアウォールと Palo Alto ファイアウォールから Syslog メッセージを収集します。VMware Aria Operations for Networks で VMware Aria Operations for Logs データソースを追加すると、これらのファイアウォールデバイスに対するドロップされたフローの通知が VMware Aria Operations for Networks に表示されます。

注： VMware Aria Operations for Networks は、 VMware Aria Operations for Logs バージョン 8.0 ～ 8.8 の追加をサポートします。サポートされているバージョンの VMware Aria Operations for Logs を VMware Aria Operations for Networks のデータソースとして追加します。

ファイアウォールデバイスが Syslog メッセージを VMware Aria Operations for Logs に送信するように構成されていて、それらのデバイスのいずれかのポリシーが影響を受ける場合、VMware Aria Operations for Logs では拒否/ドロップアクションのメッセージをフィルタリングし、VMware Aria Operations for Networks に通知を送信します。VMware Aria Operations for Networks ではこれらの通知を使用して、ファイアウォールとフローの詳細を含むドロップされたフローイベントを作成します。

前提条件

コンテンツパックをインストール、構成、管理するための API ユーザー権限があることを確認します。

コンテンツパックをインストールして、アラートを有効にします。

手順

VMware Aria Operations for Logs の API へのアクセス権を持つ VMware Aria Operations for Logs ユーザーを作成するか、再利用します。
[設定] > [アカウントとデータソース] の順に移動します。
[ソースの追加] をクリックします。
[ログサーバ] の下にある [Operations for Logs] をクリックします。
[新しい Operations for Logs サーバのアカウントまたはソースを追加] 画面で、画面タイトルの横にある [手順] をクリックします。ポップアップウィンドウに、VMware Aria Operations for Logs データソースを追加する際の前提条件と、VMware Aria Operations for Logs で Webhook URL を有効にする手順が表示されます。

必要な詳細情報を入力します。

名前	説明
コレクタ仮想マシン	データ収集プロセス用に展開したデータコレクタの IP アドレスを選択します。
IP アドレス/FQDN	データソースの IP アドレスまたは FQDN を入力します。
ユーザー名	特定のデータソースに使用するユーザー名を入力します。
パスワード	データソースのパスワードを入力します。
認証プロバイダ	指定した認証情報に対応する認証プロバイダを選択します。

データソースが作成されると、ポップアップウィンドウに、Webhook URL と、この URL を VMware Aria Operations for Logs で有効にするために実行する必要のある手順が表示されます。Webhook URL をコピーします。

注：データソースの追加後に生成される Webhook URL は VMware Aria Operations for Logs で使用されます。
このデータソースの追加に使用された認証情報を使用して、VMware Aria Operations for Logs にログインします。VMware Aria Operations for Logs アプリケーションでアラートを有効にして、構成済みの Webhook を選択します。統合が成功したことを確認するには、[テストアラートの送信 (Send Test Alert)] をクリックします。