Mengumpulkan log LDAP CA
Dokumen ini menjelaskan cara menyerap log CA LDAP ke Google Security Operations menggunakan agen Bindplane.
CA Directory (sebelumnya Symantec Directory) adalah server direktori yang kompatibel dengan LDAP v2/v3 berdasarkan standar X.500. Layanan ini menyediakan layanan direktori tingkat perusahaan dengan kemampuan logging yang komprehensif, termasuk log alarm, pelacakan, peringatan, kueri, ringkasan, koneksi, diagnostik, update, dan statistik untuk memantau operasi direktori dan peristiwa keamanan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan server CA Directory
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke server CA Directory (root atau administrator)
- CA Directory diinstal dan dikonfigurasi dengan logging diaktifkan
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/ca_directory: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CA_LDAP raw_log_field: body ingestion_labels: env: production source: ca_directory service: pipelines: logs/ca_directory_to_chronicle: receivers: - udplog exporters: - chronicle/ca_directoryGanti placeholder berikut:
Konfigurasi penerima:
listen_address: Setel ke0.0.0.0:514untuk memproses semua antarmuka di port UDP 514- Untuk penginstalan non-root Linux, gunakan port
1514atau yang lebih tinggi - Pastikan port cocok dengan port yang dikonfigurasi di penerusan rsyslog
- Untuk penginstalan non-root Linux, gunakan port
Konfigurasi pengekspor:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: GantiYOUR_CUSTOMER_IDdengancustomer IDAnda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.endpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com
- Amerika Serikat:
log_type: Tetapkan keCA_LDAP(Label penyerapan Chronicle untuk CA Directory)ingestion_labels: Label opsional untuk pemfilteran dan pengorganisasian
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog LDAP CA menggunakan rsyslog
Bagian ini menjelaskan cara mengonfigurasi rsyslog di server CA Directory untuk meneruskan log ke agen Bindplane.
Mengidentifikasi lokasi file log CA Directory
CA Directory menyimpan file log di lokasi berikut:
- Linux:
/opt/CA/Directory/dxserver/logs/ - Windows:
C:\Program Files\CA\Directory\dxserver\logs\
File log mengikuti pola penamaan berdasarkan nama DSA (misalnya, democorp_alarm, democorp_warn, democorp_trace).
Jenis log yang tersedia
CA Directory menghasilkan jenis log berikut:
- Log alarm: Peristiwa penting (selalu diaktifkan)
- Log peringatan: Error dan peringatan
- Log rekaman aktivitas: Pelacakan operasi mendetail
- Log kueri: Informasi operasi mendetail dengan stempel waktu
- Log ringkasan: Ringkasan operasi
- Log koneksi: Peristiwa koneksi dan pemutusan koneksi
- Log diagnostik: Operasi yang ditolak
- Log statistik: Statistik operasional per menit
- Log update: Operasi penambahan, pengubahan, penggantian nama, dan penghapusan
- Log waktu: Informasi pengaturan waktu operasi
Mengonfigurasi rsyslog di Linux
Login ke server CA Directory sebagai root atau dengan hak istimewa sudo.
Instal rsyslog jika belum diinstal:
sudo yum install rsyslogAtau untuk Debian/Ubuntu:
sudo apt-get install rsyslogBuat file konfigurasi rsyslog baru untuk CA Directory:
sudo nano /etc/rsyslog.d/ca-directory.confTambahkan konfigurasi berikut untuk meneruskan log CA Directory:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Monitor CA Directory query logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_query*" Tag="ca-directory-query" Severity="info" Facility="local0") # Monitor CA Directory connection logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_connection*" Tag="ca-directory-connection" Severity="info" Facility="local0") # Monitor CA Directory update logs input(type="imfile" File="/opt/CA/Directory/dxserver/logs/*_update*" Tag="ca-directory-update" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopGanti
BINDPLANE_AGENT_IPdengan alamat IP host agen Bindplane:- Jika agen Bindplane berada di server yang sama:
127.0.0.1 - Jika agen BindPlane berada di server lain: Masukkan alamat IP (misalnya,
192.168.1.100)
- Jika agen Bindplane berada di server yang sama:
Simpan file konfigurasi:
Tekan
Ctrl+O, laluEnter, laluCtrl+XVerifikasi sintaksis konfigurasi rsyslog:
sudo rsyslogd -N1Mulai ulang layanan rsyslog:
sudo systemctl restart rsyslogPastikan rsyslog berjalan:
sudo systemctl status rsyslogPeriksa log rsyslog untuk mengetahui error:
sudo tail -f /var/log/messages
Mengonfigurasi rsyslog di Windows
Download dan instal rsyslog untuk Windows dari situs rsyslog.
Buka file konfigurasi rsyslog:
notepad "C:\Program Files\rsyslog\rsyslog.conf"Tambahkan konfigurasi berikut:
# Load the imfile module for file monitoring module(load="imfile" PollingInterval="10") # Monitor CA Directory alarm logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*" Tag="ca-directory-alarm" Severity="error" Facility="local0") # Monitor CA Directory warn logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*" Tag="ca-directory-warn" Severity="warning" Facility="local0") # Monitor CA Directory trace logs input(type="imfile" File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*" Tag="ca-directory-trace" Severity="info" Facility="local0") # Forward all CA Directory logs to Bindplane agent if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514 & stopGanti
BINDPLANE_AGENT_IPdengan alamat IP host agen Bindplane.Simpan file konfigurasi.
Mulai ulang layanan rsyslog:
net stop rsyslog net start rsyslog
Mengaktifkan logging CA Directory
Pastikan jenis log yang diperlukan diaktifkan di CA Directory:
Edit file konfigurasi DSA:
- Linux:
/opt/CA/Directory/dxserver/config/servers/democorp.dxc - Windows:
C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
- Linux:
Verifikasi atau tambahkan setelan logging berikut:
set alarm-log = true; set warn-log = true; set trace-log = true; set query-log = true; set connection-log = true; set update-log = true;Simpan file konfigurasi.
Mulai ulang DSA CA Directory:
Linux:
dxserver stop democorp dxserver start democorpWindows:
net stop "CA Directory DSA - democorp" net start "CA Directory DSA - democorp"
Memverifikasi penerusan log
Buat aktivitas pengujian di CA Directory dengan melakukan kueri LDAP atau upaya autentikasi.
Periksa log agen BindPlane untuk memverifikasi bahwa log diterima:
Linux:
sudo journalctl -u observiq-otel-collector -fWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Login ke konsol Google SecOps dan pastikan log CA Directory muncul di penampil log.
Untuk mengetahui informasi selengkapnya tentang logging CA Directory, lihat dokumentasi Broadcom CA Directory.
Untuk contoh konfigurasi rsyslog yang mendetail, lihat artikel Pusat Informasi Broadcom tentang logging terpusat.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| agent.ephemeral_id, logstash.irm_region, logstash.irm_environment, logstash.irm_site, host.os.name | additional.fields | Digabungkan sebagai label dengan kunci "ephemeral_id", "irm_region", "irm_environment", "irm_site", "os_name" |
| host.architecture | hardware.cpu_platform | Nilai disalin secara langsung |
| logstash.process.host | intermediary.hostname | Nilai disalin secara langsung |
| logstash.collect.timestamp | metadata.collected_timestamp | Diuraikan sebagai stempel waktu menggunakan filter tanggal |
| msg | metadata.description | Nilai disalin secara langsung |
| metadata.event_type | Tetapkan ke "STATUS_UPDATE" | |
| agent.type, agent.version | observer.application | Digabungkan sebagai "%{agent.type} %{agent.version}" jika keduanya tidak kosong, atau "%{agent.type}" |
| agent.type, agent.id | observer.asset_id | Digabungkan sebagai "%{agent.type}: %{agent.id}" |
| agent.hostname | observer.hostname | Nilai disalin secara langsung |
| host.id | principal.asset.asset_id | Digabungkan sebagai "CA_LDAP:%{host.id}" |
| hardware | principal.asset.hardware | Digabungkan dari objek hardware |
| host.hostname | principal.hostname | Nilai disalin secara langsung |
| host.ip | principal.ip | Digabungkan dari array host.ip |
| host.mac | principal.mac | Digabungkan dari array host.mac |
| host.os.family | principal.platform | Disetel ke "LINUX" jika cocok dengan "(rhel|redhat)" |
| host.os.kernel | principal.platform_patch_level | Nilai disalin secara langsung |
| host.os.version | principal.platform_version | Nilai disalin secara langsung |
| log.file.path | principal.process.file.full_path | Nilai disalin secara langsung |
| syslog_severity | security_result.severity | Ditetapkan ke "INFORMATIONAL" jika cocok dengan "(?i)(DEFAULT|DEBUG|INFO|NOTICE)", "ERROR" jika cocok dengan "(?i)ERROR", "MEDIUM" jika cocok dengan "(?i)WARNING", "HIGH" jika cocok dengan "(?i)(CRITICAL|ALERT|EMERGENCY)" |
| syslog_severity | security_result.severity_details | Nilai disalin secara langsung |
| metadata.product_name | Tetapkan ke "CA_LDAP" | |
| metadata.vendor_name | Tetapkan ke "CA_LDAP" |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.