Raccogliere i log di Cambium Networks

Supportato in:

Questo documento spiega come importare i log di Cambium Networks in Google Security Operations utilizzando l'agente Bindplane.

Gli switch e i dispositivi wireless di Cambium Networks generano messaggi syslog per eventi di rete, avvisi IDS e attività della stazione. Il parser estrae le coppie chiave-valore dai messaggi syslog e le mappa al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e i dispositivi Cambium Networks
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso amministrativo ai dispositivi Cambium Networks

Recuperare il file di autenticazione dell'importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione.

  4. Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Recuperare l'ID cliente di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Installare l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo:

    sc query observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo:

    sudo systemctl status observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individuare il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cambium_networks:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CAMBIUM_NETWORKS
        raw_log_field: body

service:
    pipelines:
        logs/cambium_networks_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cambium_networks

Parametri di configurazione

Sostituisci i seguenti segnaposto:

  • Configurazione del ricevitore:

    • listen_address: indirizzo IP e porta su cui ascoltare:
      • 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
      • La porta 514 è la porta syslog standard (richiede la root su Linux; utilizza 1514 per non root)

  • Configurazione dell'esportatore:

    • creds_file_path: percorso completo del file di autenticazione dell'importazione:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: ID cliente copiato dalla console Google SecOps
    • endpoint: URL dell'endpoint regionale:
      • Stati Uniti: malachiteingestion-pa.googleapis.com
      • Europa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Per l'elenco completo, consulta Endpoint regionali

Salvare il file di configurazione

  • Dopo la modifica, salva il file:
    • Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
    • Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    2. Controlla i log per verificare la presenza di errori:

      sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.
      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per verificare la presenza di errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'esportazione di syslog dai dispositivi Cambium Networks

Cambium Networks ha più famiglie di dispositivi, ognuna con un percorso di configurazione syslog diverso.

ePMP 1000/2000/Force 180/200 ed ePMP Elevate

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configura > Sistema > Registrazione syslog.
  3. Configura le seguenti impostazioni:
    • Maschera syslog: fai clic su Seleziona tutto.
    • Server 1: inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

ePMP 1000 HS e cnPilot E400/E500/E501

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configura > Sistema > Registrazione eventi.
  3. Configura le seguenti impostazioni:
    • Server syslog 1: inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

  5. (Facoltativo) Accedi alla CLI del dispositivo utilizzando SSH ed esegui il seguente comando per attivare la registrazione a livello di debug:

    logging cnmaestro 7

  6. Salva e applica le impostazioni.

cnPilot R200/R201/R190

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Amministrazione > Gestione > Impostazioni log di sistema.
  3. Configura le seguenti impostazioni:
    • Syslog Enable (Attiva syslog): seleziona Enable (Attiva).
    • Syslog Level (Livello syslog): seleziona INFO.
    • Remote Syslog Enable (Attiva syslog remoto): seleziona Enable (Attiva).
    • Remote Syslog Server (Server syslog remoto): inserisci l'indirizzo IP dell'agente Bindplane.
  4. Fai clic su Salva.

PMP 450/450i/450m AP

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configurazione > cnMaestro.
  3. Imposta cnMaestro Agent Debug Log Level (Livello log di debug dell'agente cnMaestro) su INFO.
  4. Vai a Configurazione > Syslog.
  5. Configura le seguenti impostazioni:
    • Syslog DNS Server Usage (Utilizzo del server DNS syslog): seleziona Disable DNS Domain Name (Disattiva nome di dominio DNS).
    • Syslog Server (Server syslog): inserisci l'indirizzo IP dell'agente Bindplane.
    • Syslog Server Port (Porta del server syslog): inserisci il numero di porta dell'agente Bindplane.
    • AP Syslog Transmit (Trasmissione syslog AP): seleziona Enabled (Attivata).
    • SM Syslog Transmit (Trasmissione syslog SM): seleziona Enabled (Attivata).
    • Syslog Minimum Level (Livello minimo syslog): seleziona info.
  6. Fai clic su Salva.

PMP 450/450i/450m SM

  1. Accedi alla GUI di Cambium Networks.
  2. Vai a Configurazione > cnMaestro.
  3. Imposta cnMaestro Agent Debug Log Level (Livello log di debug dell'agente cnMaestro) su INFO.
  4. Vai a Configurazione > Syslog.
  5. Configura le seguenti impostazioni:
    • Syslog Configuration Source (Origine configurazione syslog): seleziona AP Preferred (AP preferito).
    • Syslog DNS Server Usage (Utilizzo del server DNS syslog): seleziona Disable DNS Domain Name (Disattiva nome di dominio DNS).
    • Syslog Server (Server syslog): inserisci l'indirizzo IP dell'agente Bindplane.
    • Syslog Server Port (Porta del server syslog): inserisci il numero di porta dell'agente Bindplane.
    • Syslog Transmission (Trasmissione syslog): seleziona Obtain from AP (Ottieni da AP).
    • Syslog Minimum Level Source (Origine livello minimo syslog): seleziona AP Preferred (AP preferito).
    • Syslog Minimum Level (Livello minimo syslog): seleziona info.
  6. Fai clic su Salva.

Tabella di mapping UDM

Campo log Mapping UDM Funzione logica
bssid read_only_udm.principal.mac Estratto da kv_fields utilizzando la chiave bssid.
channel read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave channel. Parte di un'etichetta.
host_name read_only_udm.principal.hostname Estratto dal messaggio di log utilizzando il pattern grok.
ids_event read_only_udm.security_result.summary Estratto da kv_fields utilizzando la chiave ids_event.
ids_status read_only_udm.security_result.description Estratto da kv_fields utilizzando la chiave ids_status. Utilizzato come descrizione, se presente.
iap read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave iap. Parte di un'etichetta.
manufacturer read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave manufacturer. Parte di un'etichetta.
rssi read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave rssi. Parte di un'etichetta.
security read_only_udm.security_result.about.resource.attribute.labels.value Estratto da kv_fields utilizzando la chiave security. Parte di un'etichetta.
severity read_only_udm.security_result.severity Mappato dal messaggio di log utilizzando il pattern grok. alert viene mappato a HIGH, warn viene mappato a MEDIUM, tutto il resto viene mappato a LOW.
severity read_only_udm.security_result.severity_details Mappato dal messaggio di log utilizzando il pattern grok. Mantiene il valore di gravità originale.
ssid read_only_udm.principal.application Estratto da kv_fields utilizzando la chiave ssid.
timestamp read_only_udm.metadata.event_timestamp Estratto dal messaggio di log utilizzando il pattern grok e convertito in un timestamp.
read_only_udm.metadata.event_type Determinato in base alla presenza di valori nei campi security_result e host_name. Se sono presenti entrambi i campi, il tipo di evento viene impostato su STATUS_UPDATE, altrimenti su GENERIC_EVENT.
read_only_udm.security_result.about.resource.attribute.labels.key Il valore di questo campo viene determinato dalla logica del parser in base alla coppia chiave-valore specifica in fase di elaborazione. I valori possibili sono: Internet_Access_Provider, manufacturer, channel, received_signal_strength_indicator e encryption_standard.
read_only_udm.security_result.description Se la gravità è warn, questo campo assume il valore di kv_fields, altrimenti assume il valore di ids_status.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.