收集 AIX 系統記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 AIX 系統記錄擷取至 Google Security Operations。剖析器會使用 Grok 模式從記錄檔中擷取欄位,並處理各種記錄檔格式。接著,系統會將擷取的欄位對應至 UDM,根據來源 IP、主機名稱和使用者等特定欄位是否存在,轉換資料類型並設定事件類型。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2012 SP2 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
  • AIX 系統主機的特殊存取權
  • AIX 主機與 Bindplane 代理程式之間的網路連線 (UDP 通訊埠 514)

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

安裝 Linux

  1. 開啟具備根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AIX_SYSTEM'
    raw_log_field: body
    ingestion_labels:
      environment: prod
      source: aix

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • 視基礎架構需求替換通訊埠和 IP 位址。
    • <CUSTOMER_ID> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,也可以輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 AIX 系統上設定 Syslog 轉送

  1. 以具備權限的存取權登入 AIX 系統主機
  2. 使用文字編輯器 (例如 vinano) 編輯 /etc/syslog.conf 檔案。

  3. 新增下列指令行,將記錄轉送至 Bindplane 代理程式:

    *.info    @<BINDPLANE_AGENT_IP>
    • <BINDPLANE_AGENT_IP> 替換為 Bindplane 代理程式的 IP 位址。
    • 在選取器 (*.info) 和動作 (@<BINDPLANE_AGENT_IP>) 之間,使用一或多個 Tab 鍵或空格做為分隔符。
    • 選取器 *.info 會轉送優先順序為 info 以上的所有記錄。視需要根據需求調整設施和優先順序。

  4. 儲存設定檔。

  5. 重新整理 syslogd Daemon,以套用變更:

    refresh -s syslogd

    • 如果 refresh 指令無法運作,請使用 SRC 指令重新啟動 Daemon:

      stopsrc -s syslogd
startsrc -s syslogd

  6. 確認 syslogd 精靈正在執行:

    lssrc -s syslogd

  7. 確認 AIX 主機和 Bindplane 代理程式之間允許 UDP 通訊埠 514

UDM 對應表

記錄欄位 UDM 對應 邏輯
application target.application 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
cmddata target.process.command_line 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
command_line principal.process.command_line 系統會使用 Grok 模式從 description 欄位擷取值,並直接指派。
description metadata.description 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
folder target.process.file.full_path 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
hostname principal.hostname 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。時間戳記是使用 grok 和 date 篩選器,從記錄訊息的 ts 欄位中擷取。系統會根據特定欄位是否存在,透過剖析器邏輯判斷。如果存在 src_iphostname,則為 STATUS_UPDATE。如果只有 user,但沒有其他符號,則為 USER_UNCATEGORIZED。否則為 GENERIC_EVENT。 硬式編碼為「AIX_SYSTEM」。硬式編碼為「AIX_SYSTEM」。硬式編碼為「AIX_SYSTEM」。
intermediary_hostip intermediary.ip 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
sc_summary security_result.summary 系統會使用 Grok 模式從 description 欄位擷取值,並直接指派。
severity security_result.severity 這個值是從 severity 欄位衍生而來。如果 severity 為「info」(不區分大小寫),UDM 值為「INFORMATIONAL」。如果 severity 為「Err」(不分大小寫),則 UDM 值為「ERROR」。
src_ip principal.ip 系統會使用 grok 模式從 messagedescription 欄位擷取值,並直接指派。
src_port principal.port 系統會使用 Grok 模式從 description 欄位擷取值,並直接指派。
sys_log_host intermediary.hostname 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
syslog_priority security_result.priority_details 系統會使用 Grok 模式從 message 欄位擷取值,並直接指派。
ts timestamp 時間戳記是使用 grok 和 date 篩選器,從記錄訊息的 ts 欄位中擷取。
user principal.user.userid 系統會使用 grok 模式從 messagedescription 欄位擷取值,並直接指派。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。