Mengumpulkan log ADVA Fiber Service Platform
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log ADVA Fiber Service Platform (ADVA FSP) ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari pesan syslog switch dan router, lalu mengonversinya menjadi key-value pair. Kemudian, kolom yang diekstrak ini dan nilainya dipetakan ke kolom yang sesuai dalam skema UDM Chronicle, sehingga memperkaya data untuk analisis keamanan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Host Windows 2012 SP2 atau yang lebih baru atau Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan perangkat ADVA FSP
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yaml. Berikut adalah dua opsi penerima yang berfungsi; pilih salah satu yang sesuai dengan cara perangkat Anda mengirim log:- Opsi A - Penerima log UDP (UDP sederhana)
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com log_type: 'ADVA_FSP' raw_log_field: body ingestion_labels: service: pipelines: logs/adva-fsp: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Opsi B - Penerima Syslog (direkomendasikan untuk pembingkaian syslog yang ketat)
receivers: syslog: tcp: listen_address: "0.0.0.0:514" protocol: rfc5424 # or rfc3164 if your device uses BSD syslog exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com log_type: 'ADVA_FSP' raw_log_field: body ingestion_labels: source: 'adva-fsp' env: 'production' service: pipelines: logs/adva-fsp: receivers: - syslog exporters: - chronicle/chronicle_w_labels- Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
- Ganti
<CUSTOMER_ID>dengan ID pelanggan yang sebenarnya. - Ganti
/path/to/ingestion-authentication-file.jsondengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgentMengonfigurasi penerusan Syslog di ADVA FSP
- Login ke ADVA FSP Management Console.
- Buka Node > Umum > Kontrol.
- Di bagian Penerima Peristiwa Jarak Jauh (SysLog), klik Tambahkan.
- Berikan detail konfigurasi berikut:
- IPv4/v6 Address: Masukkan alamat IP agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (misalnya,
514). - Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda yang sebenarnya.
- Ekstensi Pesan: Opsional: Klik Tambahkan Label Pengguna untuk menyertakan ID tambahan dalam pesan.
- Klik Simpan untuk mengaktifkan konfigurasi.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| ACCESSORDER | additional.fields.value.string_value | Nilai diambil dari kolom ACCESSORDER dalam log mentah. |
| ALAMAT | principal.ip | Nilai diambil dari kolom ADDRESS di log mentah dan diuraikan sebagai alamat IP. |
| ADMINSTATE | additional.fields.value.string_value | Nilai diambil dari kolom ADMINSTATE di log mentah. |
| AISCLIENTMDLEVEL | additional.fields.value.string_value | Nilai diambil dari kolom AISCLIENTMDLEVEL di log mentah. |
| AISGENENABLED | additional.fields.value.string_value | Nilai diambil dari kolom AISGENENABLED di log mentah. |
| AISPRIORITY | additional.fields.value.string_value | Nilai diambil dari kolom AISPRIORITY dalam log mentah. |
| AISTXPERIOD | additional.fields.value.string_value | Nilai diambil dari kolom AISTXPERIOD dalam log mentah. |
| AISTRIGGERTYPES | additional.fields.value.string_value | Nilai diambil dari kolom AISTRIGGERTYPES dalam log mentah. |
| BUFFERSIZE | additional.fields.value.string_value | Nilai diambil dari kolom BUFFERSIZE di log mentah. |
| CCIENABLED | additional.fields.value.string_value | Nilai diambil dari kolom CCIENABLED di log mentah. |
| CCMINTERFACESTATUSTLVCONTROL | additional.fields.value.string_value | Nilai diambil dari kolom CCMINTERFACESTATUSTLVCONTROL dalam log mentah. |
| CCMLTMPRIORITY | additional.fields.value.string_value | Nilai diambil dari kolom CCMLTMPRIORITY dalam log mentah. |
| CFMTAGETHERTYPE | additional.fields.value.string_value | Nilai diambil dari kolom CFMTAGETHERTYPE di log mentah. |
| CIR | additional.fields.value.string_value | Nilai diambil dari kolom CIR di log mentah. |
| COS | additional.fields.value.string_value | Nilai diambil dari kolom COS di log mentah. |
| CT | metadata.description | Nilai diambil dari kolom CT di log mentah. |
| DESTBMAC | target.mac | Nilai diambil dari kolom DESTBMAC di log mentah dan diuraikan sebagai alamat MAC. |
| DHCPCIDENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPCIDENABLED di log mentah. |
| DHCPENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPENABLED di log mentah. |
| DHCPHOSTNAME | network.dhcp.client_hostname | Nilai diambil dari kolom DHCPHOSTNAME di log mentah. |
| DHCPHOSTNAMEENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPHOSTNAMEENABLED di log mentah. |
| DHCPHOSTNAMETYPE | additional.fields.value.string_value | Nilai diambil dari kolom DHCPHOSTNAMETYPE di log mentah. |
| DHCPLOGSERVERENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPLOGSERVERENABLED di log mentah. |
| DHCPNTPSERVERENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPNTPSERVERENABLED di log mentah. |
| DHCPV6CIDENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPV6CIDENABLED di log mentah. |
| DHCPV6ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom DHCPV6ENABLED di log mentah. |
| DHCPV6ROLE | additional.fields.value.string_value | Nilai diambil dari kolom DHCPV6ROLE di log mentah. |
| DHCPVENDORINFOTYPE | additional.fields.value.string_value | Nilai diambil dari kolom DHCPVENDORINFOTYPE dalam log mentah. |
| DIR | additional.fields.value.string_value | Nilai diambil dari kolom DIR dalam log mentah. |
| ARAH | network.direction | Nilai ditetapkan ke "OUTBOUND" jika kolom DIRECTION dalam log mentah adalah "UP" (tidak peka huruf besar/kecil), "INBOUND" jika "DOWN", dan dibiarkan kosong jika tidak. |
| ENCAPSULATIONTYPE | additional.fields.value.string_value | Nilai diambil dari kolom ENCAPSULATIONTYPE dalam log mentah. |
| GUARANTEEDA2NBW | additional.fields.value.string_value | Nilai diambil dari kolom GUARANTEEDA2NBW di log mentah. |
| HCOSMGMTENABLED | additional.fields.value.string_value | Nilai diambil dari kolom HCOSMGMTENABLED di log mentah. |
| INT | additional.fields.value.string_value | Nilai diambil dari kolom INT dalam log mentah. |
| IPMODE | additional.fields.value.string_value | Nilai diambil dari kolom IPMODE dalam log mentah. |
| IPV6ADDR | principal.ip | Nilai diambil dari kolom IPV6ADDR di log mentah dan diuraikan sebagai alamat IP. |
| IPV6ADDRPREFIXLENGTH | additional.fields.value.string_value | Nilai diambil dari kolom IPV6ADDRPREFIXLENGTH di log mentah. |
| IPV6MTU | additional.fields.value.string_value | Nilai diambil dari kolom IPV6MTU di log mentah. |
| ITAG | additional.fields.value.string_value | Nilai diambil dari kolom ITAG dalam log mentah. |
| ITAGENABLED | additional.fields.value.string_value | Nilai diambil dari kolom ITAGENABLED di log mentah. |
| LBMTXDESTTYPE | additional.fields.value.string_value | Nilai diambil dari kolom LBMTXDESTTYPE di log mentah. |
| LBMTXNUMMSGS | additional.fields.value.string_value | Nilai diambil dari kolom LBMTXNUMMSGS di log mentah. |
| LBMTXVLANDROPENABLE | additional.fields.value.string_value | Nilai diambil dari kolom LBMTXVLANDROPENABLE di log mentah. |
| LBMTXVLANPRIORITY | additional.fields.value.string_value | Nilai diambil dari kolom LBMTXVLANPRIORITY dalam log mentah. |
| LLRESPONDERENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LLRESPONDERENABLED di log mentah. |
| LLVIDLIST | additional.fields.value.string_value | Nilai diambil dari kolom LLVIDLIST di log mentah. |
| LMDUALENDEDCOUNTALLPRIOS | additional.fields.value.string_value | Nilai diambil dari kolom LMDUALENDEDCOUNTALLPRIOS di log mentah. |
| LMINPROFILEONLY | additional.fields.value.string_value | Nilai diambil dari kolom LMINPROFILEONLY di log mentah. |
| LMRXCOUNTALLPRIOS | additional.fields.value.string_value | Nilai diambil dari kolom LMRXCOUNTALLPRIOS dalam log mentah. |
| LMTXCOUNTALLPRIOS | additional.fields.value.string_value | Nilai diambil dari kolom LMTXCOUNTALLPRIOS di log mentah. |
| LOC | additional.fields.value.string_value | Nilai diambil dari kolom LOC di log mentah. |
| LOCN | additional.fields.value.string_value | Nilai diambil dari kolom LOCN dalam log mentah. |
| LOGINTIMEOUT | additional.fields.value.string_value | Nilai diambil dari kolom LOGINTIMEOUT di log mentah. |
| LOOPBACKBLOCKINGENABLED | additional.fields.value.string_value | Nilai ini diambil dari kolom LOOPBACKBLOCKINGENABLED di log mentah. |
| LOOPBACKCONFIG | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKCONFIG di log mentah. |
| LOOPBACKDESTMAC | target.mac | Nilai diambil dari kolom LOOPBACKDESTMAC dalam log mentah dan diuraikan sebagai alamat MAC. |
| LOOPBACKDESTMACCONTROL | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKDESTMACCONTROL dalam log mentah. |
| LOOPBACKINNERVLAN1 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN1 dalam log mentah. |
| LOOPBACKINNERVLAN1ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN1ENABLED di log mentah. |
| LOOPBACKINNERVLAN2 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN2 dalam log mentah. |
| LOOPBACKINNERVLAN2ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN2ENABLED di log mentah. |
| LOOPBACKINNERVLAN3 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN3 dalam log mentah. |
| LOOPBACKINNERVLAN3ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKINNERVLAN3ENABLED di log mentah. |
| LOOPBACKOUTERITAG1 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG1 dalam log mentah. |
| LOOPBACKOUTERITAG1ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG1ENABLED di log mentah. |
| LOOPBACKOUTERITAG2 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG2 dalam log mentah. |
| LOOPBACKOUTERITAG2ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG2ENABLED di log mentah. |
| LOOPBACKOUTERITAG3 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG3 dalam log mentah. |
| LOOPBACKOUTERITAG3ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERITAG3ENABLED di log mentah. |
| LOOPBACKOUTERVLAN1 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN1 di log mentah. |
| LOOPBACKOUTERVLAN1ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN1ENABLED di log mentah. |
| LOOPBACKOUTERVLAN2 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN2 dalam log mentah. |
| LOOPBACKOUTERVLAN2ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN2ENABLED di log mentah. |
| LOOPBACKOUTERVLAN3 | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN3 dalam log mentah. |
| LOOPBACKOUTERVLAN3ENABLED | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKOUTERVLAN3ENABLED dalam log mentah. |
| LOOPBACKSOURCEMAC | principal.mac | Nilai diambil dari kolom LOOPBACKSOURCEMAC dalam log mentah dan diuraikan sebagai alamat MAC. |
| LOOPBACKSWAPSADA | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKSWAPSADA di log mentah. |
| LOOPBACKTIMER | additional.fields.value.string_value | Nilai diambil dari kolom LOOPBACKTIMER dalam log mentah. |
| LOWESTPRIODEFECT | additional.fields.value.string_value | Nilai ini diambil dari kolom LOWESTPRIODEFECT dalam log mentah. |
| LTMTXDESTTYPE | additional.fields.value.string_value | Nilai diambil dari kolom LTMTXDESTTYPE dalam log mentah. |
| LTMTXEGRESSID | metadata.product_log_id | Nilai diambil dari kolom LTMTXEGRESSID di log mentah. |
| LTMTXFLAGS | additional.fields.value.string_value | Nilai diambil dari kolom LTMTXFLAGS dalam log mentah. |
| LTMTXTTL | additional.fields.value.string_value | Nilai diambil dari kolom LTMTXTTL di log mentah. |
| MT | additional.fields.value.string_value | Nilai diambil dari kolom MT di log mentah. |
| MAXIMUMA2NBW | additional.fields.value.string_value | Nilai diambil dari kolom MAXIMUMA2NBW di log mentah. |
| MVAL | additional.fields.value.string_value | Nilai diambil dari kolom MVAL di log mentah. |
| NAMA | additional.fields.value.string_value | Nilai diambil dari kolom NAME dalam log mentah. |
| NC | additional.fields.value.string_value | Nilai diambil dari kolom NC di log mentah. |
| PORTEID | additional.fields.value.string_value | Nilai diambil dari kolom PORTEID di log mentah. |
| PORTLLENABLED | additional.fields.value.string_value | Nilai diambil dari kolom PORTLLENABLED di log mentah. |
| PRIMARYSERVER | target.ip | Nilai diambil dari kolom PRIMARYSERVER dalam log mentah dan diuraikan sebagai alamat IP. |
| PRIMARYVID | additional.fields.value.string_value | Nilai diambil dari kolom PRIMARYVID di log mentah. |
| QUEUEPROFILEID | additional.fields.value.string_value | Nilai diambil dari kolom QUEUEPROFILEID dalam log mentah. |
| RXSHAPEREID | additional.fields.value.string_value | Nilai diambil dari kolom RXSHAPEREID di log mentah. |
| SATRESPONDENABLED | additional.fields.value.string_value | Nilai diambil dari kolom SATRESPONDENABLED di log mentah. |
| SE | additional.fields.value.string_value | Nilai diambil dari kolom SE di log mentah. |
| SHAREDVIM | additional.fields.value.string_value | Nilai diambil dari kolom SHAREDVIM di log mentah. |
| SVLANENABLED | additional.fields.value.string_value | Nilai diambil dari kolom SVLANENABLED di log mentah. |
| SVLANID | additional.fields.value.string_value | Nilai diambil dari kolom SVLANID di log mentah. |
| SYSLOCATION | principal.location.country_or_region | Nilai diambil dari kolom SYSLOCATION di log mentah. |
| THVAL | additional.fields.value.string_value | Nilai diambil dari kolom THVAL di log mentah. |
| JENIS | additional.fields.value.string_value | Nilai diambil dari kolom TYPE dalam log mentah. |
| USERACCESSTYPE | additional.fields.value.string_value | Nilai diambil dari kolom USERACCESSTYPE dalam log mentah. |
| USERAUTHKEY | additional.fields.value.string_value | Nilai diambil dari kolom USERAUTHKEY di log mentah. |
| USERAUTHKEYLOCAL | additional.fields.value.string_value | Nilai diambil dari kolom USERAUTHKEYLOCAL di log mentah. |
| USERAUTHPROTOCOL | additional.fields.value.string_value | Nilai diambil dari kolom USERAUTHPROTOCOL dalam log mentah. |
| USERENGINEID | additional.fields.value.string_value | Nilai diambil dari kolom USERENGINEID di log mentah. |
| USERKEYSLOCAL | additional.fields.value.string_value | Nilai diambil dari kolom USERKEYSLOCAL di log mentah. |
| NAMA PENGGUNA | principal.user.userid | Nilai diambil dari kolom USERNAME di log mentah. |
| USERPRIVKEY | additional.fields.value.string_value | Nilai diambil dari kolom USERPRIVKEY di log mentah. |
| USERPRIVKEYLOCAL | additional.fields.value.string_value | Nilai diambil dari kolom USERPRIVKEYLOCAL di log mentah. |
| USERPRIVPROTOCOL | additional.fields.value.string_value | Nilai diambil dari kolom USERPRIVPROTOCOL di log mentah. |
| USERSECURITYLEVEL | additional.fields.value.string_value | Nilai diambil dari kolom USERSECURITYLEVEL di log mentah. |
| USERSECURITYNAME | principal.user.user_display_name | Nilai diambil dari kolom USERSECURITYNAME di log mentah. |
| application | principal.application | Nilai diambil dari kolom aplikasi yang diekstrak oleh parser grok. |
| deskripsi | security_result.description | Nilai diambil dari kolom deskripsi yang diekstrak oleh parser grok. |
| metadata.description | Nilai disetel ke "Backup NTP Server Failed" jika kolom CT di log mentah adalah "Backup NTP Server Failed". | |
| metadata.event_timestamp.seconds | Nilai diambil dari kolom stempel waktu yang diekstrak oleh parser grok dan dikonversi ke detik epoch. | |
| metadata.event_type | Nilai ditetapkan berdasarkan logika berikut: - NETWORK_DHCP jika network_dhcp_present benar dan principal_present atau target_present benar. - NETWORK_CONNECTION jika target_present dan principal_present keduanya benar (true). - USER_RESOURCE_ACCESS jika user_present bernilai benar (true). - STATUS_UPDATE jika principal_present bernilai benar. - GENERIC_EVENT. |
|
| metadata.product_log_id | Nilai diambil dari kolom LTMTXEGRESSID di log mentah. | |
| metadata.product_name | Nilai ditetapkan ke "ADVA_FSP". | |
| metadata.vendor_name | Nilai ditetapkan ke "ADVA_FSP". | |
| network.application_protocol | Nilai ditetapkan ke "DHCP" jika network_dhcp_present benar dan principal_present atau target_present benar. | |
| principal.hostname | Nilai diambil dari kolom principal_hostname yang diekstrak oleh parser grok, dengan garis bawah dihapus. | |
| principal.ip | Nilai diambil dari kolom IPADDR dalam log mentah dan diuraikan sebagai alamat IP. | |
| timestamp.seconds | Nilai diambil dari kolom stempel waktu yang diekstrak oleh parser grok dan dikonversi ke detik epoch. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.