AIX-Systemprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie AIX-Systemlogs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Logs mithilfe von Grok-Mustern und verarbeitet verschiedene Logformate. Anschließend werden die extrahierten Felder dem UDM zugeordnet, Datentypen werden konvertiert und Ereignistypen werden basierend auf dem Vorhandensein bestimmter Felder wie Quell-IP, Hostname und Nutzer festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows 2012 SP2 oder höher oder ein Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf den AIX-Systemhost
Netzwerkverbindung zwischen AIX-Hosts und dem Bindplane-Agent über den UDP-Port 514

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog-Weiterleitung auf einem AIX-System konfigurieren

Melden Sie sich mit privilegiertem Zugriff auf dem AIX-Systemhost an.
Bearbeiten Sie die Datei /etc/syslog.conf mit einem Texteditor (z. B. vi oder nano).
Fügen Sie die folgende Zeile hinzu, um Logs an den Bindplane-Agent weiterzuleiten:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Ersetzen Sie <BINDPLANE_AGENT_IP> durch die IP-Adresse des Bindplane-Agents.
- Verwenden Sie einen oder mehrere Tabulatoren oder Leerzeichen als Trennzeichen zwischen der Auswahl (*.info) und der Aktion (@<BINDPLANE_AGENT_IP>).
- Der Selektor *.info leitet alle Logs mit der Priorität info oder höher weiter. Passen Sie die Einrichtung und Priorität nach Bedarf an.
Speichern Sie die Konfigurationsdatei.
Aktualisieren Sie den syslogd-Daemon, um die Änderungen anzuwenden:
```
refresh -s syslogd
```
- Wenn der Befehl refresh nicht funktioniert, starten Sie den Daemon mit SRC-Befehlen neu:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Prüfen Sie, ob der syslogd-Daemon ausgeführt wird:
```
lssrc -s syslogd
```
Achten Sie darauf, dass UDP-Port 514 zwischen dem AIX-Host und dem Bindplane-Agent zulässig ist.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`application`	`target.application`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`cmddata`	`target.process.command_line`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`command_line`	`principal.process.command_line`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`description`	`metadata.description`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`folder`	`target.process.file.full_path`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`hostname`	`principal.hostname`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen. Der Zeitstempel wird mit grok und dem Filter `date` aus dem Feld `ts` in der Log-Nachricht extrahiert. Wird von der Parserlogik anhand des Vorhandenseins bestimmter Felder bestimmt. Wenn `src_ip` oder `hostname` vorhanden sind, ist es `STATUS_UPDATE`. Wenn `user` vorhanden ist, aber nicht die anderen, ist es `USER_UNCATEGORIZED`. Andernfalls ist es `GENERIC_EVENT`. Fest codiert auf „AIX_SYSTEM“. Fest codiert auf „AIX_SYSTEM“. Fest codiert auf „AIX_SYSTEM“.
`intermediary_hostip`	`intermediary.ip`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`sc_summary`	`security_result.summary`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`severity`	`security_result.severity`	Der Wert wird aus dem Feld `severity` abgeleitet. Wenn `severity` „info“ (Groß-/Kleinschreibung wird nicht beachtet) ist, lautet der UDM-Wert „INFORMATIONAL“. Wenn `severity` „Err“ (Groß-/Kleinschreibung wird nicht beachtet) ist, lautet der UDM-Wert „ERROR“.
`src_ip`	`principal.ip`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` oder `description` extrahiert und direkt zugewiesen.
`src_port`	`principal.port`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `description` extrahiert und direkt zugewiesen.
`sys_log_host`	`intermediary.hostname`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`syslog_priority`	`security_result.priority_details`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` extrahiert und direkt zugewiesen.
`ts`	`timestamp`	Der Zeitstempel wird mit grok und dem Filter `date` aus dem Feld `ts` in der Log-Nachricht extrahiert.
`user`	`principal.user.userid`	Der Wert wird mithilfe von Grok-Mustern aus dem Feld `message` oder `description` extrahiert und direkt zugewiesen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten