Cisco vManage SD-WAN-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Cisco vManage SD-WAN-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Cisco vManage SD-WAN ist ein zentralisiertes Netzwerkverwaltungssystem, das Transparenz und Kontrolle über das SD-WAN-Fabric bietet. Administratoren können damit die Netzwerkleistung überwachen, Richtlinien konfigurieren und die Sicherheit in verteilten Unternehmensnetzwerken verwalten.
Hinweis
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Ein GCP-Projekt mit aktivierter Cloud Storage API
- Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
- Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
- Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
- Privilegierter Zugriff auf die Cisco vManage SD-WAN-Verwaltungskonsole
- Cisco vManage-Nutzerkonto mit API-Zugriffsberechtigungen
Google Cloud Storage-Bucket erstellen
- Rufen Sie die Google Cloud Console auf.
- Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
- Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
- Klicken Sie auf Bucket erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
Einstellung Wert Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. cisco-sdwan-logs-bucket.Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region). Standort Wählen Sie den Speicherort aus, z. B. us-central1.Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird) Zugriffssteuerung Einheitlich (empfohlen) Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren Klicken Sie auf Erstellen.
Cisco vManage SD-WAN API-Anmeldedaten erfassen
API-Nutzerkonto erstellen
- Melden Sie sich in der Cisco vManage Management Console an.
- Klicken Sie auf Administration > Einstellungen > Nutzer.
- Klicken Sie auf Nutzer hinzufügen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Nutzername: Geben Sie einen Nutzernamen für den API-Zugriff ein (z. B.
chronicle-api). - Passwort: Geben Sie ein starkes Passwort ein.
- Passwort bestätigen: Geben Sie das Passwort noch einmal ein.
- Nutzergruppe: Wählen Sie eine Nutzergruppe mit den entsprechenden Berechtigungen aus (siehe nächster Abschnitt).
- Nutzername: Geben Sie einen Nutzernamen für den API-Zugriff ein (z. B.
- Klicken Sie auf Hinzufügen.
Kopieren Sie die folgenden Details und speichern Sie sie an einem sicheren Ort:
- Nutzername: Ihr vManage-Nutzername.
- Passwort: Ihr vManage-Passwort.
- vManage-Basis-URL: Die Basis-URL Ihres vManage-Servers (z. B.
https://your-vmanage-server:8443).
Nutzerberechtigungen konfigurieren
Für das API-Nutzerkonto sind bestimmte Berechtigungen erforderlich, um auf Audit-Logs, Benachrichtigungen und Ereignisse zuzugreifen.
- Rufen Sie in der Cisco vManage Management Console Administration > Settings > User Groups auf.
- Wählen Sie die Nutzergruppe aus, die dem API-Nutzer zugewiesen ist, oder erstellen Sie eine neue Gruppe.
- Klicken Sie auf Bearbeiten.
- Prüfen Sie im Abschnitt Funktion, ob die folgenden Berechtigungen aktiviert sind:
- Audit-Log: Wählen Sie die Berechtigung Lesen aus.
- Wecker: Wählen Sie die Berechtigung Lesen aus.
- Ereignisse: Wählen Sie die Berechtigung Lesen aus.
- Klicken Sie auf Aktualisieren.
API-Zugriff prüfen
Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:
- Öffnen Sie ein Terminal oder eine Eingabeaufforderung.
Führen Sie den folgenden Befehl aus, um die Authentifizierung zu testen:
# Replace with your actual credentials VMANAGE_HOST="https://your-vmanage-server:8443" VMANAGE_USERNAME="chronicle-api" VMANAGE_PASSWORD="your-password" # Test authentication (returns JSESSIONID cookie) curl -c cookies.txt -X POST \ "${VMANAGE_HOST}/j_security_check" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "j_username=${VMANAGE_USERNAME}&j_password=${VMANAGE_PASSWORD}" # Get CSRF token curl -b cookies.txt \ "${VMANAGE_HOST}/dataservice/client/token"
Wenn die Authentifizierung erfolgreich ist, gibt der zweite Befehl einen CSRF-Token-String zurück.
Note: In production environments, configure valid TLS certificates on vManage and verify certificates in the HTTP client. The code examples use certificate verification disabled for testing purposes only.
Dienstkonto für Cloud Run-Funktion erstellen
Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.
Dienstkonto erstellen
- Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie
cisco-sdwan-collector-saein. - Beschreibung des Dienstkontos: Geben Sie
Service account for Cloud Run function to collect Cisco vManage SD-WAN logsein.
- Name des Dienstkontos: Geben Sie
- Klicken Sie auf Erstellen und fortfahren.
- Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
- Klicken Sie auf Rolle auswählen.
- Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
- Klicken Sie auf + Weitere Rolle hinzufügen.
- Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
- Klicken Sie auf + Weitere Rolle hinzufügen.
- Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Fertig.
Diese Rollen sind erforderlich für:
- Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
- Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
- Cloud Functions-Invoker: Funktionsaufruf zulassen
IAM-Berechtigungen für GCS-Bucket erteilen
Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Namen Ihres Buckets.
- Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
cisco-sdwan-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
- Klicken Sie auf Speichern.
Pub/Sub-Thema erstellen
Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.
- Rufen Sie in der GCP Console Pub/Sub > Themen auf.
- Klicken Sie auf Thema erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie
cisco-sdwan-triggerein. - Übernehmen Sie die anderen Einstellungen.
- Themen-ID: Geben Sie
- Klicken Sie auf Erstellen.
Cloud Run-Funktion zum Erfassen von Logs erstellen
Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Cisco vManage SD-WAN API abzurufen und in GCS zu schreiben.
- Rufen Sie in der GCP Console Cloud Run auf.
- Klicken Sie auf Dienst erstellen.
- Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.
Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:
Einstellung Wert Dienstname cisco-sdwan-log-collectorRegion Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).Laufzeit Wählen Sie Python 3.12 oder höher aus. Im Abschnitt Trigger (optional):
- Klicken Sie auf + Trigger hinzufügen.
- Wählen Sie Cloud Pub/Sub aus.
- Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema (
cisco-sdwan-trigger) aus. - Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
- Wählen Sie Authentifizierung erforderlich aus.
- Identitäts- und Zugriffsverwaltung
Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto aus (
cisco-sdwan-collector-sa).
- Dienstkonto: Wählen Sie das Dienstkonto aus (
Rufen Sie den Tab Container auf:
- Klicken Sie auf Variablen und Secrets.
- Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
Variablenname Beispielwert GCS_BUCKETcisco-sdwan-logs-bucketGCS_PREFIXcisco-sdwan/STATE_KEYcisco-sdwan/state.jsonVMANAGE_HOSThttps://your-vmanage-server:8443VMANAGE_USERNAMEchronicle-apiVMANAGE_PASSWORDyour-vmanage-passwordScrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie
600Sekunden (10 Minuten) ein.
- Zeitlimit für Anfragen: Geben Sie
Rufen Sie den Tab Einstellungen unter Container auf:
- Im Abschnitt Ressourcen:
- Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
- CPU: Wählen Sie 1 aus.
- Klicken Sie auf Fertig.
- Im Abschnitt Ressourcen:
Scrollen Sie nach unten zu Ausführungsumgebung:
- Wählen Sie Standard aus (empfohlen).
Im Abschnitt Versionsskalierung:
- Mindestanzahl von Instanzen: Geben Sie
0ein. - Maximale Anzahl von Instanzen: Geben Sie
100ein (oder passen Sie den Wert an die erwartete Last an).
- Mindestanzahl von Instanzen: Geben Sie
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.
Funktionscode hinzufügen
- Geben Sie main unter Funktionseinstiegspunkt ein.
Erstellen Sie im Inline-Codeeditor zwei Dateien:
- Erste Datei: main.py::
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time # Disable SSL warnings for self-signed certificates (testing only) urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=10.0, read=60.0), cert_reqs='ssl.CERT_NONE', retries=urllib3.Retry(total=3, backoff_factor=1) ) # Environment variables VMANAGE_HOST = os.environ['VMANAGE_HOST'] VMANAGE_USERNAME = os.environ['VMANAGE_USERNAME'] VMANAGE_PASSWORD = os.environ['VMANAGE_PASSWORD'] GCS_BUCKET = os.environ['GCS_BUCKET'] GCS_PREFIX = os.environ['GCS_PREFIX'] STATE_KEY = os.environ['STATE_KEY'] # Initialize clients storage_client = storage.Client() class VManageAPI: def __init__(self, host, username, password): self.host = host.rstrip('/') self.username = username self.password = password self.cookies = None self.token = None def authenticate(self): """Authenticate with vManage and get session tokens""" try: # Login to get JSESSIONID login_url = f"{self.host}/j_security_check" # Encode credentials properly import urllib.parse login_data = urllib.parse.urlencode({ 'j_username': self.username, 'j_password': self.password }).encode('utf-8') response = http.request( 'POST', login_url, body=login_data, headers={'Content-Type': 'application/x-www-form-urlencoded'}, ) # Check if login was successful if b'<html>' in response.data or response.status != 200: print(f"Authentication failed: HTTP {response.status}") return False # Extract cookies self.cookies = {} if 'Set-Cookie' in response.headers: cookie_header = response.headers['Set-Cookie'] for cookie in cookie_header.split(';'): if 'JSESSIONID=' in cookie: self.cookies['JSESSIONID'] = cookie.split('JSESSIONID=')[1].split(';')[0] break if not self.cookies.get('JSESSIONID'): print("Failed to get JSESSIONID") return False # Get XSRF token token_url = f"{self.host}/dataservice/client/token" headers = { 'Content-Type': 'application/json', 'Cookie': f"JSESSIONID={self.cookies['JSESSIONID']}" } response = http.request('GET', token_url, headers=headers) if response.status == 200: self.token = response.data.decode('utf-8') print("Successfully authenticated with vManage") return True else: print(f"Failed to get XSRF token: HTTP {response.status}") return False except Exception as e: print(f"Authentication error: {e}") return False def get_headers(self): """Get headers for API requests""" return { 'Content-Type': 'application/json', 'Cookie': f"JSESSIONID={self.cookies['JSESSIONID']}", 'X-XSRF-TOKEN': self.token } def get_audit_logs(self, last_timestamp=None): """Get audit logs from vManage""" try: url = f"{self.host}/dataservice/auditlog" headers = self.get_headers() query = { "query": { "condition": "AND", "rules": [] }, "size": 10000 } if last_timestamp: if isinstance(last_timestamp, str): try: dt = datetime.fromisoformat(last_timestamp.replace('Z', '+00:00')) epoch_ms = int(dt.timestamp() * 1000) except: epoch_ms = int(last_timestamp) else: epoch_ms = int(last_timestamp) query["query"]["rules"].append({ "value": [str(epoch_ms)], "field": "entry_time", "type": "date", "operator": "greater" }) else: query["query"]["rules"].append({ "value": ["1"], "field": "entry_time", "type": "date", "operator": "last_n_hours" }) response = http.request( 'POST', url, body=json.dumps(query), headers=headers, ) if response.status == 200: return json.loads(response.data.decode('utf-8')) else: print(f"Failed to get audit logs: HTTP {response.status}") return None except Exception as e: print(f"Error getting audit logs: {e}") return None def get_alarms(self, last_timestamp=None): """Get alarms from vManage""" try: url = f"{self.host}/dataservice/alarms" headers = self.get_headers() query = { "query": { "condition": "AND", "rules": [] }, "size": 10000 } if last_timestamp: if isinstance(last_timestamp, str): try: dt = datetime.fromisoformat(last_timestamp.replace('Z', '+00:00')) epoch_ms = int(dt.timestamp() * 1000) except: epoch_ms = int(last_timestamp) else: epoch_ms = int(last_timestamp) query["query"]["rules"].append({ "value": [str(epoch_ms)], "field": "entry_time", "type": "date", "operator": "greater" }) else: query["query"]["rules"].append({ "value": ["1"], "field": "entry_time", "type": "date", "operator": "last_n_hours" }) response = http.request( 'POST', url, body=json.dumps(query), headers=headers, ) if response.status == 200: return json.loads(response.data.decode('utf-8')) else: print(f"Failed to get alarms: HTTP {response.status}") return None except Exception as e: print(f"Error getting alarms: {e}") return None def get_events(self, last_timestamp=None): """Get events from vManage""" try: url = f"{self.host}/dataservice/events" headers = self.get_headers() query = { "query": { "condition": "AND", "rules": [] }, "size": 10000 } if last_timestamp: if isinstance(last_timestamp, str): try: dt = datetime.fromisoformat(last_timestamp.replace('Z', '+00:00')) epoch_ms = int(dt.timestamp() * 1000) except: epoch_ms = int(last_timestamp) else: epoch_ms = int(last_timestamp) query["query"]["rules"].append({ "value": [str(epoch_ms)], "field": "entry_time", "type": "date", "operator": "greater" }) else: query["query"]["rules"].append({ "value": ["1"], "field": "entry_time", "type": "date", "operator": "last_n_hours" }) response = http.request( 'POST', url, body=json.dumps(query), headers=headers, ) if response.status == 200: return json.loads(response.data.decode('utf-8')) else: print(f"Failed to get events: HTTP {response.status}") return None except Exception as e: print(f"Error getting events: {e}") return None def get_last_run_time(bucket): """Get the last successful run timestamp from GCS""" try: blob = bucket.blob(STATE_KEY) if blob.exists(): state_data = json.loads(blob.download_as_text()) return state_data.get('last_run_time') except Exception as e: print(f"Error reading state: {e}") print("No previous state found, collecting last hour of logs") return None def update_last_run_time(bucket, timestamp): """Update the last successful run timestamp in GCS""" try: state_data = { 'last_run_time': timestamp, 'updated_at': datetime.now(timezone.utc).isoformat() } blob = bucket.blob(STATE_KEY) blob.upload_from_string( json.dumps(state_data), content_type='application/json' ) print(f"Updated state with timestamp: {timestamp}") except Exception as e: print(f"Error updating state: {e}") def upload_logs_to_gcs(bucket, logs_data, log_type, timestamp): """Upload logs to GCS bucket""" try: if not logs_data or 'data' not in logs_data or not logs_data['data']: print(f"No {log_type} data to upload") return dt = datetime.now(timezone.utc) filename = f"{GCS_PREFIX}{log_type}/{dt.strftime('%Y/%m/%d')}/{log_type}_{dt.strftime('%Y%m%d_%H%M%S')}.json" blob = bucket.blob(filename) blob.upload_from_string( json.dumps(logs_data), content_type='application/json' ) print(f"Uploaded {len(logs_data['data'])} {log_type} records to gs://{GCS_BUCKET}/{filename}") except Exception as e: print(f"Error uploading {log_type} to GCS: {e}") @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Cisco vManage API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ print(f"Starting Cisco vManage log collection at {datetime.now(timezone.utc)}") try: bucket = storage_client.bucket(GCS_BUCKET) # Get last run time last_run_time = get_last_run_time(bucket) # Initialize vManage API client vmanage = VManageAPI(VMANAGE_HOST, VMANAGE_USERNAME, VMANAGE_PASSWORD) # Authenticate if not vmanage.authenticate(): print('Failed to authenticate with vManage') return # Current timestamp for state tracking (store as epoch milliseconds) current_time = int(datetime.now(timezone.utc).timestamp() * 1000) # Collect different types of logs log_types = [ ('audit_logs', vmanage.get_audit_logs), ('alarms', vmanage.get_alarms), ('events', vmanage.get_events) ] total_records = 0 for log_type, get_function in log_types: try: print(f"Collecting {log_type}...") logs_data = get_function(last_run_time) if logs_data: upload_logs_to_gcs(bucket, logs_data, log_type, current_time) if 'data' in logs_data: total_records += len(logs_data['data']) except Exception as e: print(f"Error processing {log_type}: {e}") continue # Update state with current timestamp update_last_run_time(bucket, current_time) print(f"Collection completed. Total records processed: {total_records}") except Exception as e: print(f"Function execution error: {e}") raise- Zweite Datei: requirements.txt::
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).
Cloud Scheduler-Job erstellen
Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.
- Rufen Sie in der GCP Console Cloud Scheduler auf.
- Klicken Sie auf Job erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
Einstellung Wert Name cisco-sdwan-log-collector-hourlyRegion Dieselbe Region wie für die Cloud Run-Funktion auswählen Frequenz 0 * * * *(jede Stunde, zur vollen Stunde)Zeitzone Zeitzone auswählen (UTC empfohlen) Zieltyp Pub/Sub Thema Wählen Sie das Thema aus ( cisco-sdwan-trigger).Nachrichtentext {}(leeres JSON-Objekt)Klicken Sie auf Erstellen.
Optionen für die Häufigkeit des Zeitplans
Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:
Häufigkeit Cron-Ausdruck Anwendungsfall Alle 5 Minuten */5 * * * *Hohes Volumen, niedrige Latenz Alle 15 Minuten */15 * * * *Mittleres Suchvolumen Stündlich 0 * * * *Standard (empfohlen) Alle 6 Stunden 0 */6 * * *Geringes Volumen, Batchverarbeitung Täglich 0 0 * * *Erhebung von Verlaufsdaten
Scheduler-Job testen
- Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
- Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
- Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > cisco-sdwan-log-collector > Logs auf.
- Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
- Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.
Google SecOps-Dienstkonto abrufen
Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.
E-Mail-Adresse des Dienstkontos abrufen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Cisco SD-WAN logs. - Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
- Wählen Sie Cisco vManage SD-WAN als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comKopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.
Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren
Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Namen Ihres Buckets.
- Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.
Feed in Google SecOps konfigurieren, um Cisco vManage SD-WAN-Logs aufzunehmen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Cisco SD-WAN logs. - Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
- Wählen Sie Cisco vManage SD-WAN als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
gs://cisco-sdwan-logs-bucket/cisco-sdwan/Ersetzen Sie:
cisco-sdwan-logs-bucket: Der Name Ihres GCS-Buckets.cisco-sdwan/: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).
Beispiele:
- Root-Bucket:
gs://company-logs/ - Mit Präfix:
gs://company-logs/cisco-sdwan/ - Mit Unterordner:
gs://company-logs/cisco-sdwan/audit_logs/
- Root-Bucket:
Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
- Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
- Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
Asset-Namespace: Der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten