Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

AIX-Systemlogs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie AIX-Systemlogs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Logs mithilfe von Grok-Mustern und verarbeitet verschiedene Logformate. Anschließend werden die extrahierten Felder dem UDM zugeordnet, Datentypen konvertiert und Ereignistypen basierend auf dem Vorhandensein bestimmter Felder wie Quell-IP, Hostname und Nutzer festgelegt.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows 2012 SP2 oder höher oder ein Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf den AIX-Systemhost
Netzwerkverbindung zwischen AIX-Hosts und dem Bindplane-Agent über den UDP-Port 514

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungs-Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Greifen Sie auf die Konfigurationsdatei zu:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /opt/observiq-otel-collector/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yaml so:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Unter Windows können Sie den Bindplane-Agent entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung auf dem AIX-System konfigurieren

Melden Sie sich mit privilegiertem Zugriff auf dem AIX-Systemhost an.
Bearbeiten Sie die Datei /etc/syslog.conf mit einem Texteditor (z. B. vi oder nano).
Fügen Sie die folgende Zeile hinzu, um Logs an den Bindplane-Agent weiterzuleiten:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Ersetzen Sie <BINDPLANE_AGENT_IP> durch die IP-Adresse des Bindplane-Agents.
- Verwenden Sie ein oder mehrere Tabstopps oder Leerzeichen als Trennzeichen zwischen dem Selektor (*.info) und der Aktion (@<BINDPLANE_AGENT_IP>).
- Der Selektor *.info leitet alle Logs mit der Priorität info oder höher weiter. Passen Sie die Einrichtung und Priorität nach Bedarf an Ihre Anforderungen an.
Speichern Sie die Konfigurationsdatei.
Aktualisieren Sie den syslogd-Daemon, um die Änderungen zu übernehmen:
```
refresh -s syslogd
```
- Wenn der Befehl refresh nicht funktioniert, starten Sie den Daemon mit SRC-Befehlen neu:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Prüfen Sie, ob der syslogd-Daemon ausgeführt wird:
```
lssrc -s syslogd
```
Achten Sie darauf, dass UDP-Port 514 zwischen dem AIX-Host und dem Bindplane-Agent zulässig ist.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`application`	`target.application`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`cmddata`	`target.process.command_line`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`command_line`	`principal.process.command_line`	Der Wert wird mit Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`description`	`metadata.description`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`folder`	`target.process.file.full_path`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`hostname`	`principal.hostname`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen. Der Zeitstempel wird mit Grok und dem Filter `date` aus dem Feld `ts` im Logeintrag extrahiert. Wird durch die Parserlogik basierend auf dem Vorhandensein bestimmter Felder bestimmt. Wenn `src_ip` oder `hostname` vorhanden sind, ist es `STATUS_UPDATE`. Wenn `user` vorhanden ist, aber die anderen nicht, ist es `USER_UNCATEGORIZED`. Andernfalls ist es `GENERIC_EVENT`. Fest codiert auf „AIX_SYSTEM“. Fest codiert auf „AIX_SYSTEM“. Fest codiert auf „AIX_SYSTEM“.
`intermediary_hostip`	`intermediary.ip`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`sc_summary`	`security_result.summary`	Der Wert wird mit Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`severity`	`security_result.severity`	Der Wert wird aus dem Feld `severity` abgeleitet. Wenn `severity` „info“ (Groß-/Kleinschreibung wird nicht beachtet) ist, ist der UDM-Wert „INFORMATIONAL“. Wenn `severity` „Err“ (Groß-/Kleinschreibung wird nicht beachtet) ist, ist der UDM-Wert „ERROR“.
`src_ip`	`principal.ip`	Der Wert wird mit Grok-Mustern aus dem Feld `message` oder `description` extrahiert und direkt zugewiesen.
`src_port`	`principal.port`	Der Wert wird mit Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`sys_log_host`	`intermediary.hostname`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`syslog_priority`	`security_result.priority_details`	Der Wert wird mit Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`ts`	`timestamp`	Der Zeitstempel wird mit Grok und dem Filter `date` aus dem Feld `ts` im Logeintrag extrahiert.
`user`	`principal.user.userid`	Der Wert wird mit Grok-Mustern aus dem Feld `message` oder `description` extrahiert und direkt zugewiesen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten