Sumo Logic
整合版本:16.0
在 Google Security Operations 中設定 Sumo Logic 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
乒乓
說明
測試與 Sumo Logic 的連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
N/A
搜尋
說明
執行查詢,並從 Sumo Logic 取得搜尋結果。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 查詢 | 字串 | 不適用 | 要執行的 Sumo Logic 查詢。範例:_collector=* |
| 刪除搜尋工作 | 核取方塊 | 未勾選 | 如果勾選這個核取方塊,系統會在搜尋完成後刪除工作。 |
| 開始時間 | 字串 | 不適用 | 搜尋的開始日期,格式為 ISO-8601 或 Unix 時間。例如:1970-01-01T00:00:00。預設值:1 (Unix 時間)。 |
| 收件者 | 字串 | 不適用 | 搜尋的結束日期,格式為 ISO-8601 或 Unix 時間。例如:1970-01-01T00:00:00。預設值:now (目前的 UTC Unix 時間)。 |
| 限制 | 字串 | 不適用 | 要傳回的結果數。範例:10. 預設值:25。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 結果 | 不適用 | 不適用 |
JSON 結果
[
{
"_messageid": "-9223372036854773772",
"_messagetime": "1359407049529",
"_blockid": "-9223372036854775674",
"_sourcecategory": "service",
"_format": "plain:atp:o:0:l:29:p:yyyy-MM-dd HH:mm:ss,SSS ZZZZ",
"_sourcename": "/Users/christian/Development/sumo/ops/assemblies/latest/service-20.1-SNAPSHOT/logs/service.log",
"_source": "service",
"_receipttime": "1359407051885",
"_collectorid": "1579",
"_sourceid": "1640",
"_raw": "2013-01-28 13:04:09,529 -0800 INFO
[module=SERVICE]
[logger=com.netflix.config.sources.DynamoDbConfigurationSource] [thread=pollingConfigurationSource] Successfully polled Dynamo for a new configuration based on table:raychaser-chiapetProperties",
"_size": "246",
"_collector": "local",
"_messagecount": "2035",
"_sourcehost": "Chiapet.local"
}
]
連接器
Sumo Logic 連接器
說明
Sumo Logic 連接器。
在 Google SecOps 中設定 Sumo Logic 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| DeviceProductField | 字串 | device_product | 用來判斷裝置產品的欄位名稱。範例:_type |
| EventClassId | 字串 | 名稱 | 用於判斷事件名稱 (子類型) 的欄位名稱。例如:_source_match_event_id |
| PythonProcessTimeout | 字串 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根層級 | 字串 | null | Sumo Logic API 根目錄,例如:https://api.{region}.sumologic.com |
| 存取權 ID | 字串 | null | Sumo Logic 存取 ID。 |
| 存取金鑰 | 密碼 | null | Sumo Logic 存取金鑰。 |
| 驗證 SSL | 核取方塊 | FALSE | 是否要在連線上使用 SSL。 |
| 快訊名稱欄位 | 字串 | null | 快訊名稱所在欄位的名稱 (平面欄位路徑)。範例:_sourcecategory |
| 時間戳記欄位 | 字串 | null | 時間戳記所在的欄位名稱 (平面欄位路徑)。範例:_receipttime |
| 環境欄位 | 字串 | null | 環境所在的欄位名稱 (平面欄位路徑)。範例:_collector |
| 索引 | 字串 | null | 要接收快訊的指數」。 |
| 快訊數量上限 | 整數 | 10 | 單一週期內可擷取的警告數量上限。範例:20 |
| 最多可回溯的天數 | 整數 | 1 | 自此日期起擷取快訊的天數上限。範例:3 |
| Proxy 伺服器位址 | 字串 | null | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | null | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | null | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
支援動態/白名單規則
系統會為以規則形式新增的每個查詢執行單一搜尋工作。如果同時提供索引和查詢,查詢的優先順序會高於連接器的「indexes」參數。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。