將收集器添加到您的日誌存儲庫中,以從第三方資料來源攝取日誌資料。
開始之前
要將收集器新增至日誌儲存庫,您必須至少部署一個已安裝第三方日誌收集服務的服務閘道。若要了解如何部署服務閘道,請參閱服務閘道部署指南。
步驟
- 在建立新的日誌存儲庫或選擇現有的日誌存儲庫。 或 中,
- 前往Collectors標籤並點擊Add Collector。Add Collector 螢幕顯示。
- 開始輸入您希望使用的第三方資料來源供應商名稱(例如:Fortinet)。如果供應商不在列表中,點擊「建立」以使用指定的供應商名稱。
- 開始輸入您希望使用的第三方資料來源產品名稱(例如:FortiGate)。如果產品不在列表中,點擊「建立」以使用指定的產品。
重要
-
從具有可用 Trend Vision One 整合的產品中提取日誌資料可能需要額外的配置步驟。若要查看具有可用 Trend Vision One 整合的產品清單,請參閱 第三方整合。
-
從 Microsoft Defender for 端點收集日誌資料需要您在 Cloud Accounts 的 Azure 訂閱中啟用 Microsoft Defender for 端點日誌收集功能和權限。將 terraform 腳本部署到您的 Azure 訂閱後,收集器會自動建立。詳細資訊請參閱 啟用 Microsoft Defender 端點日誌收集.
-
- 選擇接收日誌的格式。建議的日誌格式會根據所選的供應商和產品自動顯示。
-
CEF 使用標準化的解析器,可以支援所有使用 CEF 日誌格式的產品的日誌,且不需要額外的映射。
-
Syslog 使用特定廠商的解析器,僅在 CEF 不可用時建議使用,因為可能需要額外的映射要求。
注意
為了更好的解析和更完整的XDR檢測,請選擇建議的日誌格式。 -
- 對於沒有可用 Trend Vision One 整合的產品,請配置收集設定和資料來源。
- 選擇一個服務閘道以接收日誌資料。只有安裝了第三方日誌收集服務的服務閘道會顯示在列表中。
- 選擇一個通訊協定以用於資料防護流量。支援 TLS 和 TCP。
重要
如果您希望使用 TLS 通訊協定在第三方日誌收集中接收日誌資料,您必須將您組織的有效憑證上傳至選定的服務閘道。欲了解指示,請參閱 如何將憑證上傳到服務閘道? - 選擇一個可用的端口以接收資料流量。選定後,端口號應在您的第三方資料來源中進行配置。
- 請指定第三方資料來源的發送 IP 位址,並以逗號分隔。僅支援 IPv4 位址。請確保您使用的是從您的第三方資料來源複製的信任 IP 位址。
- 指定日誌來源的時區,以正確對齊事件時間戳。
- 請點選「新增」。收集器已添加至日誌庫。
- 如有需要,配置日誌過濾器以提高性能和資料防護質量,防止包含指定關鍵字的日誌被收集。
- 在添加收集器後,點擊收集器詳細資訊中的「Manage log filters」。
- 按一下 「Configure log filters」 以開始新增篩選器。
- 請指定此篩選器的名稱。
- 添加最多 10 個關鍵字或短語,並以 AND 或 OR 運算符分隔,總長度不超過 100 個字元。
- 點擊「Add filter」並指定詳細資訊以繼續新增最多100個過濾器。
- 按一下「儲存」。收集器不再收集包含符合任何已配置過濾器的關鍵字的日誌。
- 透過選擇並點擊「Remove filters」或點擊相應的圖示來編輯或移除篩選器。
重要
編輯或移除篩選器後,變更可能需要最多五分鐘才能生效。
- 監控收集器連線狀態。
- 點擊與收集器相關聯的日誌庫名稱。Log Repository Details 螢幕出現。
- 前往Collectors標籤。
- 在「狀態」欄中查看收集器連線狀態。如果收集器狀態顯示為不正常,請檢查相關的服務閘道連線。
秘訣
您也可以透過在「Third-Party Log Collection」的主要部分中點擊「Configure alert notifications」來接收有關不尋常收集器連線狀態的通知。 - 確保收集的日誌資料可透過在 XDR 資料防護探索器中執行相關查詢來取得。
- 點擊與收集器相關聯的日誌庫名稱。