收集 Big Switch BigCloudFabric 日志
本文档介绍了如何使用 Bindplane 代理将 Big Switch BigCloudFabric 日志注入到 Google Security Operations。
Arista Networks Big Cloud Fabric (BCF)(现称为 Converged Cloud Fabric [CCF])是一种软件定义网络 (SDN) 解决方案,可通过集中式控制器提供自动化数据中心网络结构管理。BCF/CCF 控制器可管理叶脊网络架构,为企业数据中心网络提供集中式配置、监控和问题排查功能。此产品最初由 Big Switch Networks 开发,后来被 Arista Networks 收购。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 BCF/CCF 控制器之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 通过 GUI 或 CLI 对 BCF/CCF 控制器的管理访问权限
- BCF/CCF 控制器版本 2.5 或更高版本(用于支持 syslog)
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
将该文件安全地保存在要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/bigswitch_bcf: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: BIGSWITCH_BCF raw_log_field: body ingestion_labels: env: production source: bcf_controller service: pipelines: logs/bcf_to_chronicle: receivers: - udplog exporters: - chronicle/bigswitch_bcf替换以下占位符:
接收器配置:
- 接收器配置为在 UDP 端口 514 上侦听来自 BCF/CCF 控制器的 syslog 消息
- 如需使用其他端口,请将
514更改为所需的端口号(例如,对于非特权 Linux 安装,请使用1514)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID:替换为您的Customer ID。如需了解详情,请参阅获取 Google SecOps 客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:设置为BIGSWITCH_BCF(不更改)ingestion_labels:用于对日志进行分类的可选标签(可根据需要自定义)
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请执行以下操作:
运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请执行以下操作:
请从下列选项中选择一项:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
- 按
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 Big Switch BigCloudFabric syslog 转发
使用 GUI 或 CLI 方法将 BCF/CCF 控制器配置为将 syslog 消息转发到 Bindplane 代理。
方法 1:使用 GUI 配置 syslog
- 使用管理员凭据登录 BCF/CCF 控制器网页界面。
- 依次前往维护 > 日志记录。
- 点击远程日志记录标签页。
- 点击添加以创建新的远程 syslog 服务器配置。
- 提供以下配置详细信息:
- 服务器:输入 Bindplane 代理主机(例如
192.168.1.100)的 IP 地址。 - 端口:输入
514(或在 Bindplane 代理 config.yaml 中配置的端口)。 - 协议:选择 UDP。
- 服务器:输入 Bindplane 代理主机(例如
- 点击保存或应用以保存配置。
- 验证配置是否显示在“远程日志记录”列表中。
方法 2:使用 CLI 配置 syslog
- 使用管理员凭据通过 SSH 连接到 BCF/CCF 控制器。
进入启用模式:
controller-1> enable进入配置模式:
controller-1# configure配置远程 Syslog 服务器:
controller-1(config)# logging remote 192.168.1.100将
192.168.1.100替换为 Bindplane 代理主机 IP 地址。退出配置模式:
controller-1(config)# exit验证 syslog 配置:
controller-1# show logging输出应显示配置的远程 syslog 服务器 IP 地址。
验证日志转发
- 通过执行配置更改或查看系统状态,在 BCF/CCF 控制器上生成测试日志事件。
检查 Bindplane 代理日志,验证是否收到了 syslog 消息:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
登录 Google SecOps 控制台,并验证日志是否显示在搜索界面中,且带有提取标签
BIGSWITCH_BCF。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 说明 | metadata.description | 直接复制值,并移除了前导和尾随空格 |
| target_host、time、product_event_type、description、application | metadata.event_type | 如果 target_host 和 time 不为空,则设置为 STATUS_HEARTBEAT;如果 product_event_type == PORT_DOWN,则设置为 SERVICE_STOP;如果 description 与“.Running job.”匹配,或者 product_event_type == PORT_UP 或 application == snmpd-execstart,则设置为 SERVICE_START;如果 description 与“.status down.”匹配,则设置为 STATUS_SHUTDOWN;如果 product_event_type 为“Removing Endpoint”,则为 SERVICE_DELETION;如果 product_event_type 为“Adding Endpoint”,则为 SERVICE_CREATION;如果 product_event_type 为“Moving Endpoint”或说明与“.更改实例。”匹配,则为 SERVICE_MODIFICATION;如果 target_host 不为空,则为 NETWORK_CONNECTION;否则为 GENERIC_EVENT |
| product_event_type | metadata.product_event_type | 直接复制值 |
| application_protocol | network.application_protocol | 如果 application_protocol == "lldpa",则设置为“UNKNOWN_APPLICATION_PROTOCOL” |
| 主机 | principal.hostname | 直接复制值 |
| ip | principal.ip | 直接复制值 |
| process_id | principal.process.pid | 直接复制值 |
| 用户 | principal.user.userid | 直接复制值 |
| log_level | security_result | 如果严重程度为 INFO,则对象设置为 INFORMATIONAL;如果严重程度为 WARN,则对象设置为 MEDIUM;如果严重程度为 ERROR,则对象设置为 HIGH;如果严重程度为 INFO 或 WARN,则操作设置为 ALLOW;如果严重程度为 ERROR,则操作设置为 BLOCK |
| 应用 | target.application | 直接复制值 |
| target_host | target.hostname | 直接复制值 |
| 端口 | target.port | 转换为整数 |
| COMMAND | target.process.command_line | 直接复制值 |
| product_specific_id | target.process.product_specific_process_id | 带有“Bigswitch:”前缀 |
| kv_1、kv2、kv3 | target.user.group_identifiers | 如果 kv_1 不为空,则从 kv_1 合并;如果 kv_1 为空但 kv2 不为空,则从 kv2 合并;如果 kv_1 和 kv2 为空但 kv3 不为空,则从 kv3 合并 |
| metadata.product_name | 设置为“Big Cloud Fabric” | |
| metadata.vendor_name | 设置为“Big Switch” |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。