Big Switch BigCloudFabric-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Big Switch BigCloudFabric-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Arista Networks Big Cloud Fabric (BCF), jetzt Converged Cloud Fabric (CCF), ist eine SDN-Lösung (Software-Defined Networking), die eine automatisierte Verwaltung von Data Center Fabrics über einen zentralen Controller bietet. Der BCF/CCF-Controller verwaltet Leaf-Spine-Netzwerkarchitekturen und bietet zentralisierte Konfigurations-, Überwachungs- und Fehlerbehebungsfunktionen für Unternehmensnetzwerke in Rechenzentren. Dieses Produkt wurde ursprünglich von Big Switch Networks entwickelt, bevor es von Arista Networks übernommen wurde.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder ein Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem BCF/CCF-Controller
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Administratorzugriff auf den BCF/CCF-Controller über die GUI oder die CLI
  • BCF/CCF-Controller Version 2.5 oder höher (für Syslog-Unterstützung)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Erfassungs-Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

  4. Speichern Sie die Datei sicher auf dem System, auf dem Bindplane installiert werden soll.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profil auf.

  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

    Der Dienst sollte als RUNNING angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

    Der Dienst sollte als active (running) angezeigt werden.

Weitere Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie im Installationsleitfaden für den Bindplane-Agent.

Bindplane-Agent für die Aufnahme von Syslog-Nachrichten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • Der Empfänger ist so konfiguriert, dass er auf UDP-Port 514 auf Syslog-Nachrichten vom BCF/CCF-Controller wartet.
      • Wenn Sie einen anderen Port verwenden möchten, ändern Sie 514 in die gewünschte Portnummer (z. B. 1514 für Linux-Installationen ohne Root-Berechtigungen).

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Aufnahme:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ersetzen Sie diesen Platzhalter durch Ihre Customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.

      • endpoint: Regionale Endpunkt-URL:

        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Die vollständige Liste finden Sie unter Regionale Endpunkte.

      • log_type: Auf BIGSWITCH_BCF festlegen (nicht ändern)

      • ingestion_labels: Optionale Labels zum Kategorisieren von Logs (nach Bedarf anpassen)

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Prüfen Sie die Logs auf Fehler:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Dienstkonsole:

        1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
        2. Suchen Sie nach observIQ OpenTelemetry Collector.
        3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Prüfen Sie die Logs auf Fehler:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Big Switch BigCloudFabric konfigurieren

Konfigurieren Sie den BCF/CCF-Controller so, dass Syslog-Nachrichten entweder über die GUI oder die CLI an den Bindplane-Agent weitergeleitet werden.

Methode 1: Syslog über die GUI konfigurieren

  1. Melden Sie sich mit Ihren Administratoranmeldedaten in der Weboberfläche des BCF/CCF-Controllers an.
  2. Rufen Sie Maintenance > Logging auf.
  3. Klicken Sie auf den Tab Remote Logging.
  4. Klicken Sie auf Add , um eine neue Konfiguration für einen Remote-Syslog-Server zu erstellen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Server: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
    • Port: Geben Sie 514 ein (oder den Port, der in der Datei „config.yaml“ des Bindplane-Agents konfiguriert ist).
    • Protokoll: Wählen Sie UDP aus.
  6. Klicken Sie auf Save oder Apply , um die Konfiguration zu speichern.
  7. Prüfen Sie, ob die Konfiguration in der Liste „Remote Logging“ angezeigt wird.

Methode 2: Syslog über die CLI konfigurieren

  1. Stellen Sie über SSH eine Verbindung zum BCF/CCF-Controller her und verwenden Sie dazu Ihre Administratoranmeldedaten.

  2. Rufen Sie den Aktivierungsmodus auf:

    controller-1> enable

  3. Rufen Sie den Konfigurationsmodus auf:

    controller-1# configure

  4. Konfigurieren Sie den Remote-Syslog-Server:

    controller-1(config)# logging remote 192.168.1.100

    Ersetzen Sie 192.168.1.100 durch die IP-Adresse des Bindplane-Agent-Hosts.

  5. Beenden Sie den Konfigurationsmodus:

    controller-1(config)# exit

  6. Prüfen Sie die Syslog-Konfiguration:

    controller-1# show logging

    Die Ausgabe sollte die konfigurierte IP-Adresse des Remote-Syslog-Servers enthalten.

Logweiterleitung prüfen

  1. Generieren Sie Testlogereignisse auf dem BCF/CCF-Controller, indem Sie Konfigurationsänderungen vornehmen oder den Systemstatus aufrufen.

  2. Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass Syslog-Nachrichten empfangen werden:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Melden Sie sich in der Google SecOps-Konsole an und prüfen Sie, ob die Logs in der Suche mit dem Aufnahmelabel BIGSWITCH_BCF angezeigt werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
description metadata.description Wert direkt kopiert, wobei voran- und nachgestellte Leerzeichen entfernt wurden
target_host, time, product_event_type, description, application metadata.event_type Auf STATUS_HEARTBEAT festgelegt, wenn target_host und time nicht leer sind; SERVICE_STOP, wenn product_event_type == PORT_DOWN; SERVICE_START, wenn description mit „.Running job.“ übereinstimmt oder product_event_type == PORT_UP oder application == snmpd-execstart; STATUS_SHUTDOWN, wenn description mit „.status down.“ übereinstimmt; SERVICE_DELETION, wenn product_event_type == Removing Endpoint; SERVICE_CREATION, wenn product_event_type == Adding Endpoint; SERVICE_MODIFICATION, wenn product_event_type == Moving Endpoint oder description mit „.change instances.“ übereinstimmt; NETWORK_CONNECTION, wenn target_host nicht leer ist; andernfalls GENERIC_EVENT
product_event_type metadata.product_event_type Wert direkt kopiert
application_protocol network.application_protocol Auf „UNKNOWN_APPLICATION_PROTOCOL“ festgelegt, wenn application_protocol == „lldpa“
host principal.hostname Wert direkt kopiert
ip principal.ip Wert direkt kopiert
process_id principal.process.pid Wert direkt kopiert
USER principal.user.userid Wert direkt kopiert
log_level security_result Objekt mit Schweregrad auf INFORMATIONAL festgelegt, wenn INFO, MEDIUM, wenn WARN, HIGH, wenn ERROR; Aktion auf ALLOW festgelegt, wenn INFO oder WARN, BLOCK, wenn ERROR
application target.application Wert direkt kopiert
target_host target.hostname Wert direkt kopiert
port target.port In Ganzzahl konvertiert
COMMAND target.process.command_line Wert direkt kopiert
product_specific_id target.process.product_specific_process_id Mit „Bigswitch:“ vorangestellt
kv_1, kv2, kv3 target.user.group_identifiers Aus kv_1 zusammengeführt, wenn nicht leer, kv2, wenn nicht leer, kv3, wenn nicht leer
metadata.product_name Auf „Big Cloud Fabric“ festgelegt
metadata.vendor_name Auf „Big Switch“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten