Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux système AIX

Compatible avec :

Google secops SIEM

Ce document explique comment ingérer des journaux système AIX dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les champs des journaux à l'aide de modèles Grok, en gérant différents formats de journaux. Il mappe ensuite les champs extraits à l'UDM, en convertissant les types de données et en définissant les types d'événements en fonction de la présence de champs spécifiques tels que l'adresse IP source, le nom d'hôte et l'utilisateur.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows 2012 SP2 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à l'hôte du système AIX
Connectivité réseau entre les hôtes AIX et l'agent Bindplane sur le port UDP 514

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à SIEM Settings > Collection Agents (Paramètres SIEM > Agents de collecte).
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système où Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez l'ID client dans la section Organization Details (Informations sur l'organisation) et enregistrez-le.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /opt/observiq-otel-collector/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <CUSTOMER_ID> par l'ID client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrer l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer le transfert Syslog sur le système AIX

Connectez-vous à l'hôte du système AIX avec un accès privilégié.
Modifiez le fichier /etc/syslog.conf à l'aide d'un éditeur de texte (par exemple, vi ou nano).
Ajoutez la ligne suivante pour transférer les journaux à l'agent Bindplane :
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'agent Bindplane.
- Utilisez une ou plusieurs tabulations ou espaces comme séparateur entre le sélecteur (*.info) et l'action (@<BINDPLANE_AGENT_IP>).
- Le sélecteur *.info transfère tous les journaux avec une priorité info ou supérieure. Ajustez la fonctionnalité et la priorité selon vos besoins.
Enregistrez le fichier de configuration.
Actualisez le daemon syslogd pour appliquer les modifications :
```
refresh -s syslogd
```
- Si la commande refresh ne fonctionne pas, redémarrez le daemon à l'aide des commandes SRC :
```
stopsrc -s syslogd
startsrc -s syslogd
```
Vérifiez que le daemon syslogd est en cours d'exécution :
```
lssrc -s syslogd
```
Assurez-vous que le port UDP 514 est autorisé entre l'hôte AIX et l'agent Bindplane.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`application`	`target.application`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`cmddata`	`target.process.command_line`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`command_line`	`principal.process.command_line`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`description`	`metadata.description`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`folder`	`target.process.file.full_path`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`hostname`	`principal.hostname`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement. L'horodatage est extrait du champ `ts` dans le message de journal à l'aide de Grok et du filtre `date`. Déterminé par la logique de l'analyseur en fonction de la présence de certains champs. Si `src_ip` ou `hostname` sont présents, la valeur est `STATUS_UPDATE`. Si `user` est présent, mais pas les autres, la valeur est `USER_UNCATEGORIZED`. Sinon, la valeur est `GENERIC_EVENT`. Codé en dur sur "AIX_SYSTEM". Codé en dur sur "AIX_SYSTEM". Codé en dur sur "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`sc_summary`	`security_result.summary`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`severity`	`security_result.severity`	La valeur est dérivée du champ `severity`. Si `severity` est "info" (sans tenir compte de la casse), la valeur UDM est "INFORMATIONAL". Si `severity` est "Err" (sans tenir compte de la casse), la valeur UDM est "ERROR".
`src_ip`	`principal.ip`	La valeur est extraite du champ `message` ou `description` à l'aide de modèles Grok et attribuée directement.
`src_port`	`principal.port`	La valeur est extraite du champ `description` à l'aide de modèles Grok et attribuée directement.
`sys_log_host`	`intermediary.hostname`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`syslog_priority`	`security_result.priority_details`	La valeur est extraite du champ `message` à l'aide de modèles Grok et attribuée directement.
`ts`	`timestamp`	L'horodatage est extrait du champ `ts` dans le message de journal à l'aide de Grok et du filtre `date`.
`user`	`principal.user.userid`	La valeur est extraite du champ `message` ou `description` à l'aide de modèles Grok et attribuée directement.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.