第三方日誌收集整合

步驟

1. 在服務閘道虛擬裝置上安裝第三方日誌收集服務。
   1. 前往工作流程和自動化 → 服務閘道管理。
   2. 點選您要管理的服務閘道名稱。

      注意 請確保您選擇的服務閘道虛擬裝置符合支援第三方日誌收集服務所需的最低規格。最低要求為1個虛擬CPU和128 MB的虛擬記憶體，這可以支援每秒發送30,000個日誌。 當配置多個服務時，您必須為每個服務分配最低的虛擬CPU和虛擬記憶體需求，以確保正常運行。 如需詳細資訊，請參閱 服務閘道設備系統需求。

      如果您沒有現有的服務閘道，您必須先部署一個服務閘道。
      服務閘道畫面出現。
   3. 點選Manage Services。
      Manage Services 視窗出現。
   4. 找到Third-Party Log Collection Service並點選安裝圖示()。
      如需詳細資訊，請參閱 在服務閘道中管理服務。
   第三方日誌收集服務已安裝在服務閘道上。
2. 如果第三方日誌來源需要驗證服務閘道憑證，請將憑證上傳到虛擬裝置。
   • 僅支援 PKCS#1 憑證。
   • 憑證必須包含 RSA PRIVATE KEY 和 CERTIFICATE。
   1. 為確保私鑰未被已加密，請使用以下腳本解密並重新生成憑證 PEM 檔案後再匯入：

      #!/bin/bash
      
      # Check if exactly 2 parameters are provided
      if [ "$#" -ne 2 ]; then
          echo "Warning: You must provide exactly 2 parameters."
          echo "Usage: $0 <<original>>.pem <<decrypted>>.pem"
          exit 1
      fi
      
      # Parameters
      INPUT_PEM=$1
      OUTPUT_PEM=$2
      
      TEMP_CERT="temp_cert.pem"
      TEMP_KEY="temp_key_encrypted.pem"
      TEMP_KEY_DEC="temp_key_decrypted.pem"
      
      # extract cert
      openssl x509 -in "$INPUT_PEM" -out "$TEMP_CERT"
      
      # extract key
      openssl pkey -in "$INPUT_PEM" -out "$TEMP_KEY"
      
      # decrypt key
      openssl rsa -in "$TEMP_KEY" -out "$TEMP_KEY_DEC"
      
      # combine cert and decrypt key into new PEM
      cat "$TEMP_CERT" "$TEMP_KEY_DEC" > "$OUTPUT_PEM"
      # clear temp
      rm "$TEMP_CERT" "$TEMP_KEY" "$TEMP_KEY_DEC"
      
      echo "New pem generated.New filename = "$OUTPUT_PEM"

   2. 確認憑證格式如下：

      -----BEGIN CERTIFICATE-----
      (base64....)
      -----END CERTIFICATE-----
      -----BEGIN PRIVATE KEY-----
      (base64....)
      -----END PRIVATE KEY-----

   3. 在服務閘道管理中，點選服務閘道旁的Configure settings圖示 ()。
      Service Gateway Settings 視窗出現。
   4. 點選Import certificate。
   5. 點選Select file…並選擇您的憑證檔案。
   6. 點選匯入。
      如需詳細資訊，請參閱 配置服務閘道設定。
   7. 點選儲存。
      憑證已上傳到虛擬裝置。
3. 將日誌來源新增至第三方日誌收集。
   1. 前往 工作流程和自動化 → Third-Party Integration。
   2. 點選Third-Party Log Collection。
   3. 點選+ Add Log Source。
      Log Source Settings 視窗出現。
   4. 為新的日誌來源配置設定：
      • 為日誌來源指定Name。
      • 從下拉選單中選擇一個服務閘道虛擬裝置。

        注意 只有安裝了第三方日誌收集服務的服務閘道會出現在列表中。

      • 確保日誌來源已配置至少一個日誌收集器。
        如果不存在，新增日誌收集器。
   5. 為第三方日誌指定Sender IP addresses，使用逗號分隔多個值。
   6. 點選儲存。
4. 在第三方平台上，配置日誌來源以將第三方日誌發送到Trend Vision One。
   日誌以 CEF 格式透過傳輸層安全性 (TLS) 傳送到所選服務閘道設備的 IP 位址和埠。

   如需有關配置 Palo Alto Networks 新一代防火牆整合的詳細資訊，請參閱 Palo Alto Networks 文件。
   第三方日誌在Search應用程式中可用。第三方日誌來源只能傳送連接到Trend Vision One後生成的日誌。新日誌開始出現之前，您可能需要等待一段時間。
5. 在服務閘道管理中驗證日誌攝取。
   1. 前往工作流程和自動化 → 服務閘道管理。
   2. 點選為新日誌來源選擇的服務閘道。
   3. 前往 Connected Products/Server。
   4. 點選Third-Party Log Collection Service以查看服務狀態。
6. 前往 Search 應用程式以查看收集的第三方日誌。