VMware Aria Operations for Logs では、Check Point ファイアウォールと Palo Alto ファイアウォールから Syslog メッセージを収集します。VMware Aria Operations for Networks で VMware Aria Operations for Logs データ ソースを追加すると、これらのファイアウォール デバイスに対するドロップされたフローの通知が VMware Aria Operations for Networks に表示されます。
注:
VMware Aria Operations for Networks は、
VMware Aria Operations for Logs バージョン 8.0 ~ 8.8 の追加をサポートします。サポートされているバージョンの
VMware Aria Operations for Logs を
VMware Aria Operations for Networks のデータ ソースとして追加します。
ファイアウォール デバイスが Syslog メッセージを VMware Aria Operations for Logs に送信するように構成されていて、それらのデバイスのいずれかのポリシーが影響を受ける場合、VMware Aria Operations for Logs では拒否/ドロップ アクションのメッセージをフィルタリングし、VMware Aria Operations for Networks に通知を送信します。VMware Aria Operations for Networks ではこれらの通知を使用して、ファイアウォールとフローの詳細を含むドロップされたフロー イベントを作成します。
前提条件
コンテンツ パックをインストール、構成、管理するための API ユーザー権限があることを確認します。
コンテンツ パックをインストールして、アラートを有効にします。
手順
- VMware Aria Operations for Logs の API へのアクセス権を持つ VMware Aria Operations for Logs ユーザーを作成するか、再利用します。
- の順に移動します。
- [ソースの追加] をクリックします。
- [ログ サーバ] の下にある [Operations for Logs] をクリックします。
- [新しい Operations for Logs サーバのアカウントまたはソースを追加] 画面で、画面タイトルの横にある [手順] をクリックします。ポップアップ ウィンドウに、VMware Aria Operations for Logs データ ソースを追加する際の前提条件と、VMware Aria Operations for Logs で Webhook URL を有効にする手順が表示されます。
- 必要な詳細情報を入力します。
名前 |
説明 |
コレクタ仮想マシン |
データ収集プロセス用に展開したデータ コレクタの IP アドレスを選択します。 |
IP アドレス/FQDN |
データ ソースの IP アドレスまたは FQDN を入力します。 |
ユーザー名 |
特定のデータ ソースに使用するユーザー名を入力します。 |
パスワード |
データ ソースのパスワードを入力します。 |
認証プロバイダ |
指定した認証情報に対応する認証プロバイダを選択します。 |
- データ ソースが作成されると、ポップアップ ウィンドウに、Webhook URL と、この URL を VMware Aria Operations for Logs で有効にするために実行する必要のある手順が表示されます。Webhook URL をコピーします。
注: データ ソースの追加後に生成される Webhook URL は
VMware Aria Operations for Logs で使用されます。
- このデータ ソースの追加に使用された認証情報を使用して、VMware Aria Operations for Logs にログインします。VMware Aria Operations for Logs アプリケーションでアラートを有効にして、構成済みの Webhook を選択します。統合が成功したことを確認するには、[テスト アラートの送信 (Send Test Alert)] をクリックします。