Raccogliere i log di sistema AIX

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di sistema AIX in Google Security Operations utilizzando Bindplane. L'analizzatore estrae i campi dai log utilizzando i pattern grok, gestendo vari formati di log. Poi mappa i campi estratti all'UDM, convertendo i tipi di dati e impostando i tipi di eventi in base alla presenza di campi specifici come IP di origine, nome host e utente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows 2012 SP2 o versioni successive oppure un host Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato all'host del sistema AIX
Connettività di rete tra gli host AIX e l'agente Bindplane sulla porta UDP 514

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura l'inoltro di Syslog sul sistema AIX

Accedi all'host del sistema AIX con accesso con privilegi.
Modifica il file /etc/syslog.conf utilizzando un editor di testo (ad esempio vi o nano).
Aggiungi la seguente riga per inoltrare i log all'agente Bindplane:
```
*.info    @<BINDPLANE_AGENT_IP>
```
- Sostituisci <BINDPLANE_AGENT_IP> con l'indirizzo IP dell'agente Bindplane.
- Utilizza una o più tabulazioni o spazi come separatore tra il selettore (*.info) e l'azione (@<BINDPLANE_AGENT_IP>).
- Il selettore *.info inoltra tutti i log con priorità info o superiore. Modifica la struttura e la priorità in base alle tue esigenze.
Salva il file di configurazione.
Aggiorna il daemon syslogd per applicare le modifiche:
```
refresh -s syslogd
```
- Se il comando refresh non funziona, riavvia il daemon utilizzando i comandi SRC:
```
stopsrc -s syslogd
startsrc -s syslogd
```
Verifica che il daemon syslogd sia in esecuzione:
```
lssrc -s syslogd
```
Assicurati che la porta UDP 514 sia consentita tra l'host AIX e l'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`application`	`target.application`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`cmddata`	`target.process.command_line`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`command_line`	`principal.process.command_line`	Il valore viene estratto dal campo `description` utilizzando i pattern grok e assegnato direttamente.
`description`	`metadata.description`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`folder`	`target.process.file.full_path`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`hostname`	`principal.hostname`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente. Il timestamp viene estratto dal campo `ts` nel messaggio di log utilizzando grok e il filtro `date`. Determinato dalla logica del parser in base alla presenza di determinati campi. Se sono presenti `src_ip` o `hostname`, è `STATUS_UPDATE`. Se è presente `user`, ma non gli altri, è `USER_UNCATEGORIZED`. In caso contrario, è `GENERIC_EVENT`. Codificato in modo permanente su "AIX_SYSTEM". Codificato in modo permanente su "AIX_SYSTEM". Codificato in modo permanente su "AIX_SYSTEM".
`intermediary_hostip`	`intermediary.ip`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`sc_summary`	`security_result.summary`	Il valore viene estratto dal campo `description` utilizzando i pattern grok e assegnato direttamente.
`severity`	`security_result.severity`	Il valore è derivato dal campo `severity`. Se `severity` è "info" (senza distinzione tra maiuscole e minuscole), il valore UDM è "INFORMATIONAL". Se `severity` è "Err" (senza distinzione tra maiuscole e minuscole), il valore UDM è "ERROR".
`src_ip`	`principal.ip`	Il valore viene estratto dal campo `message` o `description` utilizzando i pattern grok e assegnato direttamente.
`src_port`	`principal.port`	Il valore viene estratto dal campo `description` utilizzando i pattern grok e assegnato direttamente.
`sys_log_host`	`intermediary.hostname`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`syslog_priority`	`security_result.priority_details`	Il valore viene estratto dal campo `message` utilizzando i pattern grok e assegnato direttamente.
`ts`	`timestamp`	Il timestamp viene estratto dal campo `ts` nel messaggio di log utilizzando grok e il filtro `date`.
`user`	`principal.user.userid`	Il valore viene estratto dal campo `message` o `description` utilizzando i pattern grok e assegnato direttamente.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.