要配置审核日志将发往的服务器,请添加 Sumo Logic 作为 SIEM 日志记录端点。

先决条件

注:

要执行此任务,您必须拥有具有所需权限和许可的 Control Room 管理员账户。

过程

  1. 导航到 管理 > 设置 > SIEM 集成配置
    访问 SIEM 集成配置
  2. 单击编辑图标。(编辑图标)
  3. 选择启用并粘贴您先前从 添加 Sumo Logic 作为 SIEM 日志记录端点 复制的 SIEM 服务器端点
    SIEM 端点服务器
    注: 确保您参考 SIEM 提供商的文档以获取围绕 JSON 属性(请求正文)的 HTTP 标头和要求的相关信息。
  4. 选择 POST HTTP 方法,因为 Sumo Logic 会将输入作为 POST 方法予以接受。
    注: SIEM 工具证书可选,取决于 SIEM 提供程序。 某些 SIEM 提供商要求您输入有效的 SIEM 工具证书。
  5. 输入事件属性的名称(例如,审计或消息)。 此值作为对应键,用于在您的 SIEM 解决方案中查找审计事件。 所有审计事件都将被记录在此类别下。
    注: 时间戳属性是可选字段,取决于 SIEM 提供商对该字段的映射。 例如,Splunk 要求值是时间且映射到其中一个时间戳字段。 允许的最大长度为 256 个字符。 允许使用除反斜杠 (\) 和双引号 (") 之外的所有特殊字符。 这些字符必须转义。
  6. 单击加号 (+) 以输入一些与日志一起送出的正文键值对(静态属性)。 键值对也接受特殊字符作为输入。 您最多可以配置 50 个属性。
    SIEM 键值对
  7. 单击加号 (+) 符号以输入作为 HTTP 标头发送的键值对,每个审核事件都使用标头键值对字段。 标头数据特定于 SIEM 提供商。 例如,对于 Sumo Logic,它支持以字母 X 开头的标头名称(例如 X-Sumo-Fields)。 您最多可以配置 50 个标头。
    标头键值对
    有关标头数据的更多信息,请参阅相应 SIEM 提供商的文档。
    注:
    以下 HTTP 标头是作为所有审核事件的一部分发送到您的 SIEM 解决方案的。 因此,不要将它们作为与任何审计事件相关的键值对的一部分包括在内:
    • 内容类型:application/json
    • 接受:application/json