Sumo Logic
集成版本:16.0
在 Google Security Operations 中配置 Sumo Logic 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
Ping
说明
测试与 Sumo Logic 的连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
搜索
说明
运行查询并从 Sumo Logic 获取搜索结果。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 查询 | 字符串 | 不适用 | 要运行的 Sumo Logic 查询。示例:_collector=* |
| 删除搜索作业 | 复选框 | 未勾选 | 如果选中此复选框,则在搜索完成后删除作业。 |
| 开始时间 | 字符串 | 不适用 | 搜索的开始日期,采用 ISO-8601 格式或以 Unix 时间表示。示例:1970-01-01T00:00:00。默认值:1(Unix 时间)。 |
| 收件人 | 字符串 | 不适用 | 搜索的结束日期,采用 ISO-8601 或 Unix 时间格式。示例:1970-01-01T00:00:00。默认值:now(当前 UTC Unix 时间)。 |
| 限制 | 字符串 | 不适用 | 要返回的结果数。示例:10. 默认值:25。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | 不适用 | 不适用 |
JSON 结果
[
{
"_messageid": "-9223372036854773772",
"_messagetime": "1359407049529",
"_blockid": "-9223372036854775674",
"_sourcecategory": "service",
"_format": "plain:atp:o:0:l:29:p:yyyy-MM-dd HH:mm:ss,SSS ZZZZ",
"_sourcename": "/Users/christian/Development/sumo/ops/assemblies/latest/service-20.1-SNAPSHOT/logs/service.log",
"_source": "service",
"_receipttime": "1359407051885",
"_collectorid": "1579",
"_sourceid": "1640",
"_raw": "2013-01-28 13:04:09,529 -0800 INFO
[module=SERVICE]
[logger=com.netflix.config.sources.DynamoDbConfigurationSource] [thread=pollingConfigurationSource] Successfully polled Dynamo for a new configuration based on table:raychaser-chiapetProperties",
"_size": "246",
"_collector": "local",
"_messagecount": "2035",
"_sourcehost": "Chiapet.local"
}
]
连接器
Sumo Logic 连接器
说明
Sumo Logic 连接器。
在 Google SecOps 中配置 Sumo Logic 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| DeviceProductField | 字符串 | device_product | 用于确定设备产品的字段名称。示例:_type |
| EventClassId | 字符串 | name | 用于确定事件名称(子类型)的字段名称。示例:_source_match_event_id |
| PythonProcessTimeout | 字符串 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| API 根 | 字符串 | null | Sumo Logic API 根,例如:https://api.{region}.sumologic.com |
| 访问 ID | 字符串 | null | Sumo Logic 访问 ID。 |
| 访问密钥 | 密码 | null | Sumo Logic 访问密钥。 |
| 验证 SSL | 复选框 | FALSE | 是否在连接中使用 SSL。 |
| “提醒名称”字段 | 字符串 | null | 提醒名称所在的字段的名称(扁平字段路径)。示例:_sourcecategory |
| 时间戳字段 | 字符串 | null | 时间戳所在字段的名称(扁平字段路径)。示例:_receipttime |
| 环境字段 | 字符串 | null | 环境所在的字段的名称(扁平字段路径)。示例:_collector |
| 索引 | 字符串 | null | 指数以接收提醒”。 |
| 提醒数量上限 | 整数 | 10 | 一次拉取周期中拉取的提醒数量上限。示例:20 |
| 回溯的天数上限 | 整数 | 1 | 自此日期起提取提醒的最长天数。示例:3 |
| 代理服务器地址 | 字符串 | null | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | null | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | null | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
支持动态规则/许可名单规则
系统将为作为规则添加的每个查询运行一个搜索作业。如果同时提供了索引和查询,则查询的优先级高于连接器的“indexes”参数。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。