相扑逻辑收集溶液
sumologic-netskope-collector的Python项目详细描述
Sumologic Netskope收集器
将数据从netskope拉到sumo逻辑的解决方案
安装
从Netskope门户获取令牌
- 以租户管理员身份登录netskope。netskope rest api使用auth令牌对api进行授权调用。可通过以下步骤从用户界面获取令牌
- 转到netskope ui的api部分(settings>;tools>;restapi)
- 交替地将现有令牌复制到剪贴板上,您可以生成新的令牌并复制
添加托管收集器和http源
- 要创建新的sumo逻辑托管收集器,请执行Configure a Hosted Collector中的步骤。
- 添加一个HTTP Logs and Metrics Source。
在“高级”下,您将看到有关时间戳和时区的选项,当您选择“时间戳分析”时,请指定自定义时间戳格式,如下所示:
格式:epoch
时间戳定位器:
\"timestamp\": (.*),
配置Sumologic Netskope收集器 下面的说明假设pip已经安装,如果没有,请参阅pipdocs中关于如何下载和安装pip的内容。
sumologic netskope collector与python 3.7和python 2.7兼容。它已经在Ubuntu18.04LTS和Debian4.9.130上测试过了。 登录到Linux计算机并下载并执行以下步骤:
使用以下命令安装收集器
pip install sumologic-netskope-collector
使用sample.yaml文件(在sumologic netskope文件夹中)在主目录中创建配置文件netskope.yaml。 添加从步骤1和步骤2获得的sumo_端点和令牌参数,并用netskope门户域替换“netskope domain”变量。
SumoLogic: SUMO_ENDPOINT: <SUMO LOGIC HTTP URL> Netskope: TOKEN: <NETSKOPE API TOKEN> NETSKOPE_EVENT_ENDPOINT: <netskope domain>/api/v1/events NETSKOPE_ALERT_ENDPOINT: <netskope domain>/api/v1/alerts
通过使用crontab-e并添加以下行,为每5分钟运行收集器创建一个cron作业
*/5 * * * * /usr/bin/python -m sumonetskopecollector.netskope > /dev/null 2>&1