檢視次數:

將收集器添加到您的日誌存儲庫中,以從第三方資料來源攝取日誌資料。

開始之前

要將收集器新增至日誌儲存庫,您必須至少部署一個已安裝第三方日誌收集服務的服務閘道。若要了解如何部署服務閘道,請參閱服務閘道部署指南

步驟

  1. 「Workflow and Automation」「Third-Party Integration」「Third-Party Log Collection」「服務管理」「Data Source and Log Management」「Third-party log repositories」中,建立新的日誌存儲庫或選擇現有的日誌存儲庫。
  2. 前往Collectors標籤並點擊Add Collector
    Add Collector 螢幕顯示。
  3. 開始輸入您希望使用的第三方資料來源供應商名稱(例如:Fortinet)。如果供應商不在列表中,點擊「建立」以使用指定的供應商名稱。
  4. 開始輸入您希望使用的第三方資料來源產品名稱(例如:FortiGate)。如果產品不在列表中,點擊「建立」以使用指定的產品。
    重要
    重要
    • 從具有可用 Trend Vision One 整合的產品中提取日誌資料可能需要額外的配置步驟。若要查看具有可用 Trend Vision One 整合的產品清單,請參閱 第三方整合
    • 從 Microsoft Defender for 端點收集日誌資料需要您在 Cloud Accounts 的 Azure 訂閱中啟用 Microsoft Defender for 端點日誌收集功能和權限。將 terraform 腳本部署到您的 Azure 訂閱後,收集器會自動建立。詳細資訊請參閱 啟用 Microsoft Defender 端點日誌收集
      .
  5. 選擇接收日誌的格式。建議的日誌格式會根據所選的供應商和產品自動顯示。
    • CEF 使用標準化的解析器,可以支援所有使用 CEF 日誌格式的產品的日誌,且不需要額外的映射。
    • Syslog 使用特定廠商的解析器,僅在 CEF 不可用時建議使用,因為可能需要額外的映射要求。
    注意
    注意
    為了更好的解析和更完整的XDR檢測,請選擇建議的日誌格式。
  6. 對於沒有可用 Trend Vision One 整合的產品,請配置收集設定和資料來源。
    1. 選擇一個服務閘道以接收日誌資料。只有安裝了第三方日誌收集服務的服務閘道會顯示在列表中。
    2. 選擇一個通訊協定以用於資料防護流量。支援 TLS 和 TCP。
      重要
      重要
      如果您希望使用 TLS 通訊協定在第三方日誌收集中接收日誌資料,您必須將您組織的有效憑證上傳至選定的服務閘道。欲了解指示,請參閱 如何將憑證上傳到服務閘道?
    3. 選擇一個可用的端口以接收資料流量。選定後,端口號應在您的第三方資料來源中進行配置。
    4. 請指定第三方資料來源的發送 IP 位址,並以逗號分隔。僅支援 IPv4 位址。請確保您使用的是從您的第三方資料來源複製的信任 IP 位址。
  7. 指定日誌來源的時區,以正確對齊事件時間戳。
  8. 請點選「新增」。
    收集器已添加至日誌庫。
  9. 如有需要,配置日誌過濾器以提高性能和資料防護質量,防止包含指定關鍵字的日誌被收集。
    1. 在添加收集器後,點擊收集器詳細資訊中的「Manage log filters」
    2. 按一下 「Configure log filters」 以開始新增篩選器。
    3. 請指定此篩選器的名稱。
    4. 添加最多 10 個關鍵字或短語,並以 AND 或 OR 運算符分隔,總長度不超過 100 個字元。
    5. 點擊「Add filter」並指定詳細資訊以繼續新增最多100個過濾器。
    6. 按一下「儲存」。
      收集器不再收集包含符合任何已配置過濾器的關鍵字的日誌。
    7. 透過選擇並點擊「Remove filters」或點擊相應的圖示來編輯或移除篩選器。
      重要
      重要
      編輯或移除篩選器後,變更可能需要最多五分鐘才能生效。
  10. 監控收集器連線狀態。
    1. 點擊與收集器相關聯的日誌庫名稱。
      Log Repository Details 螢幕出現。
    2. 前往Collectors標籤。
    3. 「狀態」欄中查看收集器連線狀態。如果收集器狀態顯示為不正常,請檢查相關的服務閘道連線。
      秘訣
      秘訣
      您也可以透過在「Third-Party Log Collection」的主要部分中點擊「Configure alert notifications」來接收有關不尋常收集器連線狀態的通知。
    4. 確保收集的日誌資料可透過在 XDR 資料防護探索器中執行相關查詢來取得。