VMware Aria Operations for Logs 可從 Check Point 和 Palo Alto 防火牆收集 Syslog 訊息。在 VMware Aria Operations for Networks 中新增 VMware Aria Operations for Logs 資料來源後,這些防火牆裝置之捨棄的流量通知會顯示在 VMware Aria Operations for Networks 中。

備註: VMware Aria Operations for Networks 支援新增 VMware Aria Operations for Logs 8.0 到 8.8。請確保在 VMware Aria Operations for Networks 中將受支援版本的 VMware Aria Operations for Logs 新增為資料來源。

如果將防火牆裝置設定為向 VMware Aria Operations for Logs 傳送 Syslog 訊息,並且這些裝置上的任何原則都會受到影響,則 VMware Aria Operations for Logs 會篩選拒絕/捨棄動作訊息並向 VMware Aria Operations for Networks 傳送通知。VMware Aria Operations for Networks 會使用這些通知,並建立具有防火牆和流量詳細資料的捨棄的流量事件。

必要條件

確保您具有安裝、設定和管理內容套件的 API 使用者權限。

安裝內容套件並啟用警示。

程序

  1. 建立或重複使用有權存取 VMware Aria Operations for Logs API 的 VMware Aria Operations for Logs 使用者。
  2. 移至設定 > 帳戶和資料來源
  3. 按一下新增來源
  4. 按一下記錄伺服器下的 Operations for Logs
  5. 新增 Operations for Logs 伺服器帳戶或來源頁面上,按一下頁面標題旁邊的說明。將顯示一個快顯視窗,其中提供了新增 VMware Aria Operations for Logs 資料來源的必要條件,以及在 VMware Aria Operations for Logs 上啟用 Webhook URL 的說明。VMware Aria Operations for Networks 上的快顯視窗,其中顯示了新增 VMware Aria Operations for Logs 資料來源的必要條件。
  6. 輸入必要的詳細資料。
    名稱 說明
    收集器虛擬機器 選取為資料收集程序部署的資料收集器的 IP 位址。
    IP 位址/FQDN 輸入資料來源的 IP 位址或 FQDN。
    使用者名稱 輸入要用於特定資料來源的使用者名稱。
    密碼 輸入資料來源的密碼。
    驗證提供者 為您提供的認證選取適當的驗證提供者。
  7. 建立資料來源後,會顯示一個快顯視窗,其中提供了 Webhook URL 以及在 VMware Aria Operations for Logs 上啟用此 URL 必須執行的步驟。複製 Webhook URL。快顯視窗顯示了 Webhook URL 以及在 VMware Aria Operations for Logs 上啟用 URL 的步驟。
    備註: 在新增資料來源後產生的 Webhook URL 在 VMware Aria Operations for Logs 中使用。
  8. 使用用於新增此資料來源的認證登入 VMware Aria Operations for Logs。在 VMware Aria Operations for Logs 應用程式中啟用警示,並選取預先設定的 Webhook。若要確保整合成功,請按一下傳送測試警示VMware Aria Operations for Logs 使用者介面顯示用於啟用警示和選取預先設定的 Webhook 的選項。