Mengumpulkan log Big Switch BigCloudFabric

Didukung di:

Dokumen ini menjelaskan cara menyerap log Big Switch BigCloudFabric ke Google Security Operations menggunakan agen Bindplane.

Big Cloud Fabric (BCF) Arista Networks, yang kini dikenal sebagai Converged Cloud Fabric (CCF), adalah solusi software-defined networking (SDN) yang menyediakan pengelolaan fabric pusat data otomatis melalui pengontrol terpusat. Pengontrol BCF/CCF mengelola arsitektur jaringan leaf-spine, yang menyediakan kemampuan konfigurasi, pemantauan, dan pemecahan masalah terpusat untuk jaringan pusat data perusahaan. Produk ini awalnya dikembangkan oleh Big Switch Networks sebelum diakuisisi oleh Arista Networks.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan Pengontrol BCF/CCF
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses administratif ke Pengontrol BCF/CCF melalui GUI atau CLI
  • BCF/CCF Controller versi 2.5 atau yang lebih baru (untuk dukungan syslog)

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.

  4. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

    Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

    Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  1. Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Ganti placeholder berikut:

    • Konfigurasi penerima:

      • Penerima dikonfigurasi untuk memproses pesan syslog di port UDP 514 dari Pengontrol BCF/CCF
      • Untuk menggunakan port lain, ubah 514 ke nomor port yang Anda inginkan (misalnya, 1514 untuk penginstalan Linux yang tidak memiliki hak istimewa)

    • Konfigurasi pengekspor:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ganti dengan Customer ID Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.

      • endpoint: URL endpoint regional:

        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

      • log_type: Ditetapkan ke BIGSWITCH_BCF (jangan diubah)

      • ingestion_labels: Label opsional untuk mengategorikan log (sesuaikan sesuai kebutuhan)

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux:

    1. Jalankan perintah berikut:

      sudo systemctl restart observiq-otel-collector

    2. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows:

    1. Pilih salah satu opsi berikut:

      • Command Prompt atau PowerShell sebagai administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Konsol layanan:

        1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
        2. Temukan observIQ OpenTelemetry Collector.
        3. Klik kanan, lalu pilih Mulai Ulang.

    2. Pastikan layanan sedang berjalan:

      sc query observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Big Switch BigCloudFabric

Konfigurasi Pengontrol BCF/CCF untuk meneruskan pesan syslog ke agen Bindplane menggunakan metode GUI atau CLI.

Metode 1: Mengonfigurasi syslog menggunakan GUI

  1. Login ke antarmuka web Pengontrol BCF/CCF menggunakan kredensial administrator Anda.
  2. Buka Pemeliharaan > Logging.
  3. Klik tab Remote Logging.
  4. Klik Tambahkan untuk membuat konfigurasi server syslog jarak jauh baru.
  5. Berikan detail konfigurasi berikut:
    • Server: Masukkan alamat IP host agen Bindplane (misalnya, 192.168.1.100).
    • Port: Masukkan 514 (atau port yang dikonfigurasi di Bindplane agent config.yaml).
    • Protocol: Pilih UDP.
  6. Klik Simpan atau Terapkan untuk menyimpan konfigurasi.
  7. Pastikan konfigurasi muncul dalam daftar Logging Jarak Jauh.

Metode 2: Mengonfigurasi syslog menggunakan CLI

  1. Hubungkan ke Pengontrol BCF/CCF melalui SSH menggunakan kredensial administrator Anda.

  2. Masuk ke mode aktifkan:

    controller-1> enable

  3. Masuk ke mode konfigurasi:

    controller-1# configure

  4. Konfigurasi server syslog jarak jauh:

    controller-1(config)# logging remote 192.168.1.100

    Ganti 192.168.1.100 dengan alamat IP host agen Bindplane.

  5. Keluar dari mode konfigurasi:

    controller-1(config)# exit

  6. Verifikasi konfigurasi syslog:

    controller-1# show logging

    Output akan menampilkan alamat IP server syslog jarak jauh yang dikonfigurasi.

Memverifikasi penerusan log

  1. Buat peristiwa log pengujian di Pengontrol BCF/CCF dengan melakukan perubahan konfigurasi atau melihat status sistem.

  2. Periksa log agen Bindplane untuk memverifikasi bahwa pesan syslog diterima:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Login ke konsol Google SecOps dan verifikasi bahwa log muncul di antarmuka Search dengan label penyerapan BIGSWITCH_BCF.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
deskripsi metadata.description Nilai disalin secara langsung, dengan spasi di depan dan di belakang dihapus
target_host, time, product_event_type, description, application metadata.event_type Disetel ke STATUS_HEARTBEAT jika target_host dan time tidak kosong; SERVICE_STOP jika product_event_type == PORT_DOWN; SERVICE_START jika description cocok dengan ".Running job." atau product_event_type == PORT_UP atau application == snmpd-execstart; STATUS_SHUTDOWN jika description cocok dengan ".status down."; SERVICE_DELETION jika product_event_type == Removing Endpoint; SERVICE_CREATION jika product_event_type == Adding Endpoint; SERVICE_MODIFICATION jika product_event_type == Moving Endpoint atau description cocok dengan ".change instances."; NETWORK_CONNECTION jika target_host tidak kosong; jika tidak, GENERIC_EVENT
product_event_type metadata.product_event_type Nilai disalin secara langsung
application_protocol network.application_protocol Ditetapkan ke "UNKNOWN_APPLICATION_PROTOCOL" jika application_protocol == "lldpa"
host principal.hostname Nilai disalin secara langsung
ip principal.ip Nilai disalin secara langsung
process_id principal.process.pid Nilai disalin secara langsung
PENGGUNA principal.user.userid Nilai disalin secara langsung
log_level security_result Objek dengan tingkat keparahan yang disetel ke INFORMATIONAL jika INFO, MEDIUM jika WARN, HIGH jika ERROR; tindakan yang disetel ke ALLOW jika INFO atau WARN, BLOCK jika ERROR
application target.application Nilai disalin secara langsung
target_host target.hostname Nilai disalin secara langsung
port target.port Dikonversi ke bilangan bulat
PERINTAH target.process.command_line Nilai disalin secara langsung
product_specific_id target.process.product_specific_process_id Diawali dengan "Bigswitch:"
kv_1, kv2, kv3 target.user.group_identifiers Digabungkan dari kv_1 jika tidak kosong, kv2 jika tidak kosong, kv3 jika tidak kosong
metadata.product_name Tetapkan ke "Big Cloud Fabric"
metadata.vendor_name Ditetapkan ke "Big Switch"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.