Mengumpulkan log sistem AIX

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log sistem AIX ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari log menggunakan pola grok, yang menangani berbagai format log. Kemudian, alat ini memetakan kolom yang diekstrak ke UDM, mengonversi jenis data, dan menetapkan jenis peristiwa berdasarkan ada atau tidaknya kolom tertentu seperti IP sumber, nama host, dan pengguna.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2012 SP2 atau yang lebih baru, atau host Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke host sistem AIX
Konektivitas jaringan antara host AIX dan agen Bindplane di port UDP 514

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di sistem AIX

Login ke host sistem AIX dengan akses istimewa.
Edit file /etc/syslog.conf menggunakan editor teks (misalnya, vi atau nano).
Tambahkan baris berikut untuk meneruskan log ke agen Bindplane:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Ganti <BINDPLANE_AGENT_IP> dengan alamat IP agen Bindplane.
- Gunakan satu atau beberapa tab atau spasi sebagai pemisah antara pemilih (*.info) dan tindakan (@<BINDPLANE_AGENT_IP>).
- Pemilih *.info meneruskan semua log dengan prioritas info atau yang lebih tinggi. Sesuaikan fasilitas dan prioritas sesuai kebutuhan Anda.
Simpan file konfigurasi.
Muat ulang daemon syslogd untuk menerapkan perubahan:
```
refresh -s syslogd
```
- Jika perintah refresh tidak berfungsi, mulai ulang daemon menggunakan perintah SRC:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Pastikan daemon syslogd sedang berjalan:
```
lssrc -s syslogd
```
Pastikan port UDP 514 diizinkan antara host AIX dan agen BindPlane.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`application`	`target.application`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`cmddata`	`target.process.command_line`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`command_line`	`principal.process.command_line`	Nilai diekstrak dari kolom `description` menggunakan pola grok dan ditetapkan secara langsung.
`description`	`metadata.description`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`folder`	`target.process.file.full_path`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`hostname`	`principal.hostname`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung. Stempel waktu diekstrak dari kolom `ts` dalam pesan log menggunakan grok dan filter `date`. Ditentukan oleh logika parser berdasarkan keberadaan kolom tertentu. Jika `src_ip` atau `hostname` ada, maka `STATUS_UPDATE`. Jika `user` ada, tetapi yang lain tidak, maka itu adalah `USER_UNCATEGORIZED`. Jika tidak, `GENERIC_EVENT`. Dikodekan secara permanen ke "AIX_SYSTEM". Dikodekan secara permanen ke "AIX_SYSTEM". Dikodekan secara permanen ke "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`sc_summary`	`security_result.summary`	Nilai diekstrak dari kolom `description` menggunakan pola grok dan ditetapkan secara langsung.
`severity`	`security_result.severity`	Nilai ini berasal dari kolom `severity`. Jika `severity` adalah "info" (tidak peka huruf besar/kecil), nilai UDM adalah "INFORMATIONAL". Jika `severity` adalah "Err" (tidak peka huruf besar/kecil), nilai UDM adalah "ERROR".
`src_ip`	`principal.ip`	Nilai diekstrak dari kolom `message` atau `description` menggunakan pola grok dan ditetapkan secara langsung.
`src_port`	`principal.port`	Nilai diekstrak dari kolom `description` menggunakan pola grok dan ditetapkan secara langsung.
`sys_log_host`	`intermediary.hostname`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`syslog_priority`	`security_result.priority_details`	Nilai diekstrak dari kolom `message` menggunakan pola grok dan ditetapkan secara langsung.
`ts`	`timestamp`	Stempel waktu diekstrak dari kolom `ts` dalam pesan log menggunakan grok dan filter `date`.
`user`	`principal.user.userid`	Nilai diekstrak dari kolom `message` atau `description` menggunakan pola grok dan ditetapkan secara langsung.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.