檢視次數:

在 Trend Vision One 日誌庫中,使用連接到已部署的服務閘道的收集器收集、整理、管理和存儲第三方日誌資料。

第三方日誌收集是一種日誌管理系統,可讓您從組織的第三方資料來源中攝取和保留日誌資料。攝取的資料為您提供可行的資料可見性,以便在 Agentic SIEM 中進行安全威脅偵測和關聯,並支援合規性稽核和法規資料管理。為每個日誌儲存庫設定特定的攝取和保留類型,以更有效地組織收集的日誌資料,並在需要時在 Trend Vision One 解決方案中存取資料。
第三方日誌收集使用一個層級系統來管理日誌資料,包括:
  • 日誌存儲庫:根據指定的攝取和保留類型及時間範圍攝取和存儲第三方日誌資料
  • 收集器:從配置的第三方資料來源接收日誌資料,並將資料轉發到特定的日誌存儲庫
  • 服務閘道虛擬裝置:在您部署的服務閘道上安裝第三方日誌收集服務,以便從您的第三方資料來源收集日誌
要設置日誌存儲庫以攝取和存儲第三方日誌資料防護:
  1. 如果您尚未部署符合第三方日誌收集服務最低要求的服務閘道,部署一個服務閘道虛擬裝置。服務閘道必須至少有 1 個 CPU 和 128 MB 的虛擬記憶體可用。
  2. 在您的服務閘道上安裝第三方日誌收集服務
  3. 如果使用 TLS 通訊協定從資料來源接收第三方資料日誌,上傳憑證到您的服務閘道以進行驗證。
  4. 在第三方日誌收集中,建立日誌儲存庫,並設定所需的攝取和保留設置。
  5. 新增一個或多個收集器到配置為接收來自您第三方資料來源的日誌儲存庫。
  6. 將您的第三方資料來源配置為將日誌資料匯出到收集器
  7. XDR Data Explorer上執行已匯入日誌資料的查詢,並在Service Gateway Management中監控日誌儲存庫的流量使用情況。
收集器接收並轉發來自指定第三方日誌資料來源的所有有效日誌。
TPLC_diagram=GUID-5eaa9e3e-9889-4618-b988-15de83dec476.jpg
在第三方日誌收集中可用的操作如下。
處理行動
說明
查看現有的日誌儲存庫和收集器
 日誌庫顯示的詳細資訊包括:
  • 攝取類型
  • 保留期限
  • 分配的收集器數量
深入了解連接到日誌庫的收集器的詳細信息,包括:
  • 收集器名稱
  • 日誌來源
  • 記錄格式
  • 收集器狀態
建立新的日誌庫
點擊 Create New Log Repository 以命名和配置新的日誌存儲庫。要了解更多資訊,請參閱 建立日誌庫
查看日誌存儲庫和收集器詳細信息
點擊日誌存儲庫的名稱以顯示包含以下部分的日誌存儲庫詳細信息抽屜:
  • Basic:顯示分配給日誌庫的攝取和保留類型。
    • 攝取類型
      • 分析:攝取日誌資料以進行分析、關聯和安全威脅狩獵
        • 支援分析和歸檔保留
      • 存檔:攝取日誌資料以進行不頻繁的查詢或滿足合規要求
        • 僅支援歸檔保留
    • 保留類型:
      • 分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30天
      • 歸檔:儲存資料防護以符合合規要求或用於不頻繁的查詢
  • Collectors: 顯示有關將日誌資料轉發到日誌儲存庫的收集器的詳細資訊
    • 點擊 Add Collector 以將新的收集器添加到日誌庫。
      重要
      重要
      所有由收集器接收的日誌資料會根據相關的日誌儲存庫設定進行處理。若要使用不同的處理或保留設定,請建立一個新的日誌儲存庫。
    • 編輯或移除個別收集器
    • 管理日誌過濾器應用於每個收集器
設定警報通知
當發生以下一個或多個第三方日誌收集問題時,點擊「Configure alert notifications」以啟用電子郵件或 webhook 通知:
  • 由於服務閘道或第三方日誌收集服務狀態異常,日誌收集已被中斷
  • 日誌收集已停止,因為第三方日誌收集服務已過期
  • 長時間未從資料來源收集到支援的日誌
  • 收集器狀態已更改
相關資訊