向Sumo Logic发送数据

如果使用Sumo Logic进行数据聚合和分析,则可能希望将信息从tCell传递给Sumo Logic,以控制Sumo Logic的警报、生成聚合仪表板或与其他数据源关联。tCell警报可以通过webhooks向Sumo Logic发送多种高调的信息,比如已识别的可疑参与者、新的包漏洞等等。看到警报tCell应用程序中的配置页。

从tCell向Sumo Logic传输数据很简单:

  1. 向Sumo Logic环境添加HTTP Source配置
  2. 在你的tCell应用程序中,将该HTTP源定位在基于web的警报目的地中
  3. 设置一个或多个警报,以将可能的邮件类别发送到新的警报目的地

添加HTTP源

在tCell,我们没有任何关于如何配置或管理Sumo Logic HTTP源和源类别名称的明确指导。

一种选择是使用Sumo Logic中的安装向导。在向导中,您可以选择“所有其他源”,然后选择“HTTP源”。最重要的事情是选择一个源类别名称,它将在样式和模式上匹配您的其他源类别名称。例如,在测试环境中或作为测试,您可以使用“tcell-alerts”。所有其他设置都可以保持默认值。tCell将发布一个或多个JSON对象,Sumo Logic将在对象边界上对这些对象进行切片,从而形成连贯的可搜索事件。

当你完成Source Category的设置并点击[Continue],你会看到一个神奇的url提供如下:https://endpoint2.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

在编辑器或类似工具中记录这些内容,因为您很快就会需要它。

配置警报目的地

在tCell UI中,在你选择的App中,转到设置>警报在section的左侧列表中。2 .单击最右侧的+添加目的地

在“创建新目标”中选择目标类型Webhook,并粘贴第1步中的大URL。如果你愿意,你可以发送测试WebHook, Sumo Logic将处理它,并将它变成一个事件。

(注意,事件可能需要几分钟才能在一般的Sumo Logic搜索中可用。)

添加使用此新警报目的地的警报

点击+添加提醒链接。选择警报类型和Sumo Logic webhook。

如果您想测试初始测试之外的警报,请考虑为Config Changed添加一个警报,因为以一种无害的方式更改配置来强制执行此类事件是非常容易的。例如,在策略>应用防火墙您可以添加一个与您永远不会收到的标题名称相匹配的规则,例如“peanut-butter-sandwich”,然后再次删除该规则。