Raccogli i log di Big Switch BigCloudFabric

Supportato in:

Questo documento spiega come importare i log di Big Switch BigCloudFabric in Google Security Operations utilizzando l'agente Bindplane.

Big Cloud Fabric (BCF) di Arista Networks, ora noto come Converged Cloud Fabric (CCF), è una soluzione SDN (networking software-defined) che fornisce la gestione automatizzata del fabric del data center tramite un controller centralizzato. Il controller BCF/CCF gestisce le architetture di rete leaf-spine, fornendo funzionalità di configurazione, monitoraggio e risoluzione dei problemi centralizzate per le reti dei data center aziendali. Questo prodotto è stato originariamente sviluppato da Big Switch Networks prima di essere acquisito da Arista Networks.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e il controller BCF/CCF
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso amministrativo al controller BCF/CCF tramite GUI o CLI
  • BCF/CCF Controller versione 2.5 o successive (per il supporto di syslog)

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione.

  4. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  1. Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bigswitch_bcf:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BIGSWITCH_BCF
        raw_log_field: body
        ingestion_labels:
            env: production
            source: bcf_controller

service:
    pipelines:
        logs/bcf_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/bigswitch_bcf

  2. Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • Il ricevitore è configurato per l'ascolto sulla porta UDP 514 per i messaggi syslog dal controller BCF/CCF
      • Per utilizzare una porta diversa, modifica 514 con il numero di porta che preferisci (ad esempio, 1514 per le installazioni Linux non privilegiate).

    • Configurazione dell'esportatore:

      • creds_file_path: Percorso completo del file di autenticazione importazione:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: sostituisci con il tuo Customer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.

      • endpoint: URL endpoint regionale:

        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.

      • log_type: impostato su BIGSWITCH_BCF (non modificare)

      • ingestion_labels: etichette facoltative per classificare i log (personalizza in base alle esigenze)

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux:

    1. Esegui questo comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows:

    1. Scegli una delle seguenti opzioni:

      • Prompt dei comandi o PowerShell come amministratore:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console dei servizi:

        1. Premi Win+R, digita services.msc e premi Invio.
        2. Individua observIQ OpenTelemetry Collector.
        3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

    2. Verifica che il servizio sia in esecuzione:

      sc query observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di syslog di Big Switch BigCloudFabric

Configura il controller BCF/CCF per inoltrare i messaggi syslog all'agente Bindplane utilizzando il metodo GUI o CLI.

Metodo 1: configura syslog utilizzando la GUI

  1. Accedi all'interfaccia web del controller BCF/CCF utilizzando le tue credenziali di amministratore.
  2. Vai a Manutenzione > Logging.
  3. Fai clic sulla scheda Registrazione remota.
  4. Fai clic su Aggiungi per creare una nuova configurazione del server syslog remoto.
  5. Fornisci i seguenti dettagli di configurazione:
    • Server: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
    • Porta: inserisci 514 (o la porta configurata in Bindplane agent config.yaml).
    • Protocollo: seleziona UDP.
  6. Fai clic su Salva o Applica per salvare la configurazione.
  7. Verifica che la configurazione venga visualizzata nell'elenco Logging remoto.

Metodo 2: configura syslog utilizzando la CLI

  1. Connettiti al controller BCF/CCF tramite SSH utilizzando le tue credenziali di amministratore.

  2. Attiva la modalità di attivazione:

    controller-1> enable

  3. Attiva la modalità di configurazione:

    controller-1# configure

  4. Configura il server syslog remoto:

    controller-1(config)# logging remote 192.168.1.100

    Sostituisci 192.168.1.100 con l'indirizzo IP dell'host dell'agente Bindplane.

  5. Esci dalla modalità di configurazione:

    controller-1(config)# exit

  6. Verifica la configurazione di syslog:

    controller-1# show logging

    L'output dovrebbe mostrare l'indirizzo IP del server syslog remoto configurato.

Verificare l'inoltro dei log

  1. Genera eventi di log di test sul controller BCF/CCF eseguendo modifiche alla configurazione o visualizzando lo stato del sistema.

  2. Controlla i log dell'agente Bindplane per verificare che i messaggi syslog vengano ricevuti:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Accedi alla console Google SecOps e verifica che i log vengano visualizzati nell'interfaccia Ricerca con l'etichetta di importazione BIGSWITCH_BCF.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
descrizione metadata.description Valore copiato direttamente, con gli spazi iniziali e finali rimossi
target_host, time, product_event_type, description, application metadata.event_type Imposta STATUS_HEARTBEAT se target_host e time non sono vuoti; SERVICE_STOP se product_event_type == PORT_DOWN; SERVICE_START se description corrisponde a ".Running job." o product_event_type == PORT_UP o application == snmpd-execstart; STATUS_SHUTDOWN se description corrisponde a ".status down."; SERVICE_DELETION se product_event_type == Removing Endpoint; SERVICE_CREATION se product_event_type == Adding Endpoint; SERVICE_MODIFICATION se product_event_type == Moving Endpoint o la descrizione corrisponde a ".change instances."; NETWORK_CONNECTION se target_host non è vuoto; altrimenti GENERIC_EVENT
product_event_type metadata.product_event_type Valore copiato direttamente
application_protocol network.application_protocol Imposta su "UNKNOWN_APPLICATION_PROTOCOL" se application_protocol == "lldpa"
host principal.hostname Valore copiato direttamente
ip principal.ip Valore copiato direttamente
process_id principal.process.pid Valore copiato direttamente
UTENTE principal.user.userid Valore copiato direttamente
log_level security_result Oggetto con gravità impostata su INFORMATIONAL se INFO, MEDIUM se WARN, HIGH se ERROR; azione impostata su ALLOW se INFO o WARN, BLOCK se ERROR
applicazione target.application Valore copiato direttamente
target_host target.hostname Valore copiato direttamente
porta target.port Convertito in numero intero
COMANDO target.process.command_line Valore copiato direttamente
product_specific_id target.process.product_specific_process_id Prefisso "Bigswitch:"
kv_1, kv2, kv3 target.user.group_identifiers Unito da kv_1 se non vuoto, kv2 se non vuoto, kv3 se non vuoto
metadata.product_name Imposta su "Big Cloud Fabric"
metadata.vendor_name Impostato su "Big Switch"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.