Sumo Logic

前提条件

Sumo Logic账户
Bitdefender GravityZone （云端）账户
在Sumo Logic环境中某台机器上设置的主机收集器

要收集 Bitdefender GravityZone 通过其API提供的数据，请按照以下步骤操作：

向主机收集器添加数据源

登录Sumo Logic。
导航至 管理数据 > 收集 .
点击 添加数据源 （位于主机收集器旁边）。
选择 HTTP日志与指标 .
输入名称作为该数据源的标识。
配置日志的源详细信息及高级选项。

更多信息请参阅以下 Sumo Logic帮助文档 .
点击保存以添加数据源。

该数据源具有唯一URL。 Bitdefender GravityZone 将在您配置事件推送服务API后向其发送数据。

访问数据源URL

导航至 管理数据 > 采集 .
按名称查找托管采集器并点击 显示URL .
复制HTTP数据源地址。

生成 Bitdefender GravityZone API密钥

登录 GravityZone 控制中心 .
点击右上角用户图标并选择 我的账户 .
进入 API密钥 部分并点击添加 .
选择 事件推送服务API 复选框。

您可以启用其他API以从 Bitdefender GravityZone .
点击保存 .

为防止敏感信息泄露，请勿共享或分发您自己生成的API密钥。
从 控制中心 API 部分复制访问URL。

您需要此密钥来配置事件推送服务API。

配置事件推送服务API

按照以下步骤设置订阅，以便在Sumo Logic中查看 GravityZone 控制中心的事件。

打开Mac或Linux终端。
运行echo命令，后跟 Bitdefender GravityZone API密钥及冒号(":")
- 对于Linux终端：
```
> echo –n 'Ge9HCYqdU7jIDR90wN0eE1zbB5Snc5HN:' | base64 –w 0
```
- 对于Mac终端：
```
> echo –n 'Ge9HCYqdU7jIDR90wN0eE1zbB5Snc5HN:' | base64 –b 0
```
将API密钥编码为base64字符串。

返回值示例：
```
R2U5SENZcWRVN2pJRFI5MHdOMGVFMXpiQjVTbmM1SE46
```
```
4oCTbiBhY2M1ZGY2ODU2YTdiZWUwODE3MmJlM2I2NDQ3YjMyNTg2OWIzM2M2ZjU2ZGJjNGNjMmRkYjJmZmM0OWFkYzRjOgo=
```
您需将此编码字符串作为POST授权的令牌使用。

注意

Sumo Logic当前不支持通过 setPushEventSettings 方法中使用的认证标头进行身份验证。事件推送转发机制仍需该标头才能工作，但标头本身可包含任意随机字符串，因为Sumo Logic的https收集器会忽略其内容。

运行以下curl命令并编辑强调的配置项：

curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {"status": 1,"serviceType": "jsonRPC","serviceSettings": {"url": "SumoLogic URL","requireValidSslCertificate": false, "authorization":"auth header value"},"subscribeToEventTypes": {"modules": true,"sva": true,"registration": true,"supa-update-status": true,"av": true,"aph": true,"fw": true,"avc": true,"uc": true,"dp": true,"hd": true,"sva-load": true,"task-status": true,"exchange-malware": true,"network-sandboxing": true,"adcloud": true,"exchange-user-credentials": true}},"jsonrpc": "2.0","method": "setPushEventSettings","id": "1"}'

返回值示例：

{"id":"1","jsonrpc":"2.0","result":true}

GravityZone 在事件推送服务配置重新加载后，开始向Sumo Logic发送事件。该过程每10分钟执行一次。

下表列出了 GravityZone 可发送至Sumo Logic的事件类型。

事件类型标识符	描述
`modules`	产品模块事件
`安全虚拟架构`	安全服务器状态事件
`注册`	产品注册事件
`超级更新状态`	已过时更新服务器事件（当更新服务器作为中继 )
`反病毒`	反恶意软件事件
`反钓鱼`	反钓鱼事件
`防火墙`	防火墙事件
`高级威胁控制`	高级威胁控制 /入侵检测事件
`用户控制`	用户控制事件
`数据保护`	数据保护事件
`超级检测`	超级检测事件
`sva加载`	过载安全服务器事件
`任务状态`	任务状态事件
`exchange恶意软件`	Exchange恶意软件检测事件
`网络沙箱`	沙盒分析器检测
`adcloud`	Active Directory集成问题
`exchange用户凭证`	Exchange用户凭证

要立即开始发送事件，请运行以下命令并编辑强调的设置：

curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {}, "jsonrpc": "2.0", "method": "getPushEventSettings", "id": "2"}'

要测试集成，请运行以下命令并编辑强调的设置：

curl -k -X POST \
https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push \
-H 'authorization: BasicR2U5SENZcWRVN2pJRFI5QndOMGVFMXpiQjVTbmNISE46' \
-H 'cache-control: no-cache' \
-H 'content-type: application/json' \
-d '{"params": {"eventType": "av"}, "jsonrpc": "2.0", "method": "sendTestPushEvent", "id": "3"}'

您现在可以看到 Bitdefender GravityZone 数据位于 管理数据 > 采集 .

有关推送事件服务的详细信息，请参阅推送API文档 .