Big Switch BigCloudFabric-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Big Switch BigCloudFabric-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Arista Networks Big Cloud Fabric (BCF), jetzt Converged Cloud Fabric (CCF), ist eine SDN-Lösung (Software-Defined Networking, softwarebasiertes Netzwerk), die eine automatisierte Verwaltung von Rechenzentrums-Fabrics über einen zentralen Controller ermöglicht. Der BCF-/CCF-Controller verwaltet Leaf-Spine-Netzwerkarchitekturen und bietet Funktionen für die zentrale Konfiguration, Überwachung und Fehlerbehebung für Unternehmensrechenzentrumsnetzwerke. Dieses Produkt wurde ursprünglich von Big Switch Networks entwickelt, bevor es von Arista Networks übernommen wurde.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem BCF-/CCF-Controller
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Administratorzugriff auf den BCF-/CCF-Controller über die GUI oder CLI
  • BCF-/CCF-Controller-Version 2.5 oder höher (für Syslog-Unterstützung)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

  4. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert werden soll.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

    Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

    Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • Der Empfänger ist so konfiguriert, dass er auf UDP-Port 514 auf Syslog-Nachrichten vom BCF-/CCF-Controller wartet.
      • Wenn Sie einen anderen Port verwenden möchten, ändern Sie 514 in die gewünschte Portnummer (z. B. 1514 für nicht privilegierte Linux-Installationen).

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ersetzen Sie dies durch Ihre Customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.

      • endpoint: Regionale Endpunkt-URL:

        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.

      • log_type: Auf BIGSWITCH_BCF festlegen (nicht ändern)

      • ingestion_labels: Optionale Labels zum Kategorisieren von Logs (nach Bedarf anpassen)

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Services-Konsole:

        1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
        2. Suchen Sie nach observIQ OpenTelemetry Collector.
        3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Logs auf Fehler prüfen:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Big Switch BigCloudFabric konfigurieren

Konfigurieren Sie den BCF-/CCF-Controller so, dass Syslog-Nachrichten an den Bindplane-Agent weitergeleitet werden. Verwenden Sie dazu entweder die GUI oder die CLI.

Methode 1: Syslog über die Benutzeroberfläche konfigurieren

  1. Melden Sie sich mit Ihren Administratoranmeldedaten in der BCF/CCF Controller-Weboberfläche an.
  2. Rufen Sie Wartung > Logging auf.
  3. Klicken Sie auf den Tab Remote-Logging.
  4. Klicken Sie auf Hinzufügen, um eine neue Konfiguration für einen Remote-Syslog-Server zu erstellen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Server: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein, z. B. 192.168.1.100.
    • Port: Geben Sie 514 ein (oder den Port, der in der Datei „config.yaml“ des Bindplane-Agents konfiguriert ist).
    • Protokoll: Wählen Sie UDP aus.
  6. Klicken Sie auf Speichern oder Übernehmen, um die Konfiguration zu speichern.
  7. Prüfen Sie, ob die Konfiguration in der Liste „Remote-Logging“ angezeigt wird.

Methode 2: Syslog über die Befehlszeile konfigurieren

  1. Stellen Sie über SSH mit Ihren Administratoranmeldedaten eine Verbindung zum BCF-/CCF-Controller her.

  2. Aktivierungsmodus aufrufen:

    controller-1> enable

  3. Konfigurationsmodus aufrufen:

    controller-1# configure

  4. Konfigurieren Sie den Remote-Syslog-Server:

    controller-1(config)# logging remote 192.168.1.100

    Ersetzen Sie 192.168.1.100 durch die IP-Adresse des Bindplane-Agent-Hosts.

  5. Konfigurationsmodus beenden:

    controller-1(config)# exit

  6. Syslog-Konfiguration prüfen:

    controller-1# show logging

    In der Ausgabe sollte die konfigurierte IP-Adresse des Remote-Syslog-Servers angezeigt werden.

Logweiterleitung überprüfen

  1. Generieren Sie Testlogereignisse auf dem BCF-/CCF-Controller, indem Sie Konfigurationsänderungen vornehmen oder den Systemstatus aufrufen.

  2. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten empfangen werden:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Melden Sie sich in der Google SecOps Console an und prüfen Sie, ob die Logs in der Suchoberfläche mit dem Erfassungslabel BIGSWITCH_BCF angezeigt werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Beschreibung metadata.description Der Wert wurde direkt kopiert, wobei voran- und nachgestellte Leerzeichen entfernt wurden.
target_host, time, product_event_type, description, application metadata.event_type Auf STATUS_HEARTBEAT setzen, wenn target_host und time nicht leer sind; auf SERVICE_STOP, wenn product_event_type == PORT_DOWN; auf SERVICE_START, wenn description mit ".Running job." übereinstimmt oder product_event_type == PORT_UP oder application == snmpd-execstart; auf STATUS_SHUTDOWN, wenn description mit ".status down." übereinstimmt; SERVICE_DELETION, wenn product_event_type == Removing Endpoint; SERVICE_CREATION, wenn product_event_type == Adding Endpoint; SERVICE_MODIFICATION, wenn product_event_type == Moving Endpoint oder die Beschreibung mit „.change instances.“ übereinstimmt; NETWORK_CONNECTION, wenn target_host nicht leer ist, andernfalls GENERIC_EVENT
product_event_type metadata.product_event_type Wert direkt kopiert
application_protocol network.application_protocol Auf „UNKNOWN_APPLICATION_PROTOCOL“ festlegen, wenn application_protocol == „lldpa“
Host principal.hostname Wert direkt kopiert
ip principal.ip Wert direkt kopiert
process_id principal.process.pid Wert direkt kopiert
NUTZER principal.user.userid Wert direkt kopiert
log_level security_result Objekt mit der Wichtigkeit INFORMATIONAL, wenn INFO, MEDIUM, wenn WARN, HIGH, wenn ERROR; Aktion auf ALLOW festgelegt, wenn INFO oder WARN, BLOCK, wenn ERROR
Anwendung target.application Wert direkt kopiert
target_host target.hostname Wert direkt kopiert
Port target.port In Ganzzahl konvertiert
COMMAND target.process.command_line Wert direkt kopiert
product_specific_id target.process.product_specific_process_id Mit „Bigswitch:“ beginnen:
kv_1, kv2, kv3 target.user.group_identifiers Zusammengeführt aus kv_1, falls nicht leer, kv2, falls nicht leer, kv3, falls nicht leer
metadata.product_name Auf „Big Cloud Fabric“ festgelegt
metadata.vendor_name Auf „Big Switch“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten