vRealize Log Insight では、Check Point ファイアウォールと Palo Alto ファイアウォールから Syslog メッセージを収集します。vRealize Network InsightvRealize Log Insight データ ソースを追加すると、これらのファイアウォール デバイスに対するドロップされたフローの通知が vRealize Network Insight に表示されます。

注: vRealize Network Insight は、 vRealize Log Insight バージョン 8.0 ~ 8.8 の追加をサポートします。サポートされているバージョンの vRealize Log InsightvRealize Network Insight のデータ ソースとして追加します。

ファイアウォール デバイスが Syslog メッセージを vRealize Log Insight に送信するように構成されていて、それらのデバイスのいずれかのポリシーが影響を受ける場合、vRealize Log Insight では拒否/ドロップ アクションのメッセージをフィルタリングし、vRealize Network Insight に通知を送信します。vRealize Network Insight ではこれらの通知を使用して、ファイアウォールとフローの詳細を含むドロップされたフロー イベントを作成します。

前提条件

コンテンツ パックをインストール、構成、管理するための API ユーザー権限があることを確認します。

コンテンツ パックをインストールして、アラートを有効にします。

手順

  1. vRealize Log Insight の API へのアクセス権を持つ vRealize Log Insight ユーザーを作成するか、再利用します。
  2. [設定] > [アカウントとデータ ソース] の順に移動します。
  3. [ソースの追加] をクリックします。
  4. [ログ サーバ] の下の [Log Insight] をクリックします。
  5. [新しい Log Insight サーバのアカウントまたはソースを追加] 画面で、画面タイトルの横にある [手順] をクリックします。ポップアップ ウィンドウに、vRealize Log Insight データ ソースを追加する際の前提条件と、vRealize Log Insight で Webhook URL を有効にする手順が表示されます。vRealize Log Insight データ ソースを追加する際の前提条件を表示する vRealize Network Insight のポップアップ ウィンドウ。
  6. 必要な詳細情報を入力します。
    名前 説明
    コレクタ仮想マシン データ収集プロセス用に展開したデータ コレクタの IP アドレスを選択します。
    IP アドレス/FQDN データ ソースの IP アドレスまたは FQDN を入力します。
    ユーザー名 特定のデータ ソースに使用するユーザー名を入力します。
    パスワード データ ソースのパスワードを入力します。
    認証プロバイダ 指定した認証情報に対応する認証プロバイダを選択します。
  7. データ ソースが作成されると、ポップアップ ウィンドウに、Webhook URL と、この URL を vRealize Log Insight で有効にするために実行する必要のある手順が表示されます。Webhook URL をコピーします。ポップアップ ウィンドウに Webhook URL と、vRealize Log Insight で URL を有効にする手順が表示されます。
    注: データ ソースの追加後に生成される Webhook URL は vRealize Log Insight で使用されます。
  8. このデータ ソースの追加に使用された認証情報を使用して、vRealize Log Insight にログインします。vRealize Log Insight アプリケーションでアラートを有効にして、構成済みの Webhook を選択します。統合が成功したことを確認するには、[テスト アラートの送信 (Send Test Alert)] をクリックします。アラートを有効にして、構成済みの Webhook を選択するためのオプションを表示する vRealize Log Insight ユーザー インターフェイス。