Sumo Logic
통합 버전: 16.0
Google Security Operations에서 Sumo Logic 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
핑
설명
Sumo Logic에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
N/A
검색
설명
쿼리를 실행하고 Sumo Logic에서 검색 결과를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 쿼리 | 문자열 | 해당 사항 없음 | 실행할 Sumo Logic 쿼리입니다. 예: _collector=* |
| 검색 작업 삭제 | 체크박스 | 선택 해제됨 | 선택하면 검색이 완료된 후 작업을 삭제합니다. |
| 다음 이후: | 문자열 | 해당 사항 없음 | 검색 시작 날짜입니다(ISO-8601 또는 유닉스 시간). 예: 1970-01-01T00:00:00 기본값: 1 (유닉스 시간) |
| 받는사람 | 문자열 | 해당 사항 없음 | 검색의 종료일입니다(ISO-8601 또는 유닉스 시간). 예: 1970-01-01T00:00:00 기본값: now (현재 UTC 유닉스 시간) |
| 한도 | 문자열 | 해당 사항 없음 | 반환할 결과 수입니다. 예: 10 기본값: 25 |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[
{
"_messageid": "-9223372036854773772",
"_messagetime": "1359407049529",
"_blockid": "-9223372036854775674",
"_sourcecategory": "service",
"_format": "plain:atp:o:0:l:29:p:yyyy-MM-dd HH:mm:ss,SSS ZZZZ",
"_sourcename": "/Users/christian/Development/sumo/ops/assemblies/latest/service-20.1-SNAPSHOT/logs/service.log",
"_source": "service",
"_receipttime": "1359407051885",
"_collectorid": "1579",
"_sourceid": "1640",
"_raw": "2013-01-28 13:04:09,529 -0800 INFO
[module=SERVICE]
[logger=com.netflix.config.sources.DynamoDbConfigurationSource] [thread=pollingConfigurationSource] Successfully polled Dynamo for a new configuration based on table:raychaser-chiapetProperties",
"_size": "246",
"_collector": "local",
"_messagecount": "2035",
"_sourcehost": "Chiapet.local"
}
]
커넥터
Sumo Logic 커넥터
설명
Sumo Logic 커넥터입니다.
Google SecOps에서 Sumo Logic 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 문자열 | device_product | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. 예: _type |
| EventClassId | 문자열 | name | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. 예: _source_match_event_id |
| PythonProcessTimeout | 문자열 | 60 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 문자열 | null | Sumo Logic API 루트입니다(예: https://api.{region}.sumologic.com). |
| 액세스 ID | 문자열 | null | Sumo Logic 액세스 ID입니다. |
| 액세스 키 | 비밀번호 | null | Sumo Logic 액세스 키입니다. |
| SSL 확인 | 체크박스 | FALSE | 연결에 SSL을 사용할지 여부입니다. |
| 알림 이름 필드 | 문자열 | null | 알림 이름이 있는 필드의 이름입니다 (플랫 필드 경로). 예: _sourcecategory |
| 타임스탬프 필드 | 문자열 | null | 타임스탬프가 있는 필드의 이름입니다 (플랫 필드 경로). 예: _receipttime |
| 환경 필드 | 문자열 | null | 환경이 있는 필드의 이름입니다 (플랫 필드 경로). 예: _collector |
| 색인 | 문자열 | null | 알림을 받을 색인'을 입력합니다. |
| 알림 수 제한 | 정수 | 10 | 한 주기에서 가져올 최대 알림 수입니다. 예: 20 |
| 최대 이전 일수 | 정수 | 1 | 이후 알림을 가져올 최대 일수입니다. 예: 3 |
| 프록시 서버 주소 | 문자열 | null | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | null | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | null | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
동적/허용 목록 규칙 지원
이렇게 하면 규칙으로 추가된 각 검색어에 대해 단일 검색 작업이 실행됩니다. 색인과 쿼리가 모두 제공된 경우 쿼리가 커넥터의 'indexes' 매개변수보다 우선합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.