Collecter les journaux Cisco Application Centric Infrastructure (ACI)

Compatible avec :

Ce document explique comment ingérer des journaux Cisco Application Centric Infrastructure (ACI) dans Google Security Operations. L'analyseur tente d'abord de traiter les journaux Cisco ACI entrants en tant que messages syslog à l'aide de modèles Grok. Si l'analyse syslog échoue, le message est considéré comme étant au format JSON et est analysé en conséquence. Enfin, il mappe les champs extraits au modèle de données unifié (UDM).

Cette intégration est compatible avec deux méthodes :

  • Option 1 : Format Syslog à l'aide de l'agent Bindplane
  • Option 2 : Format JSON utilisant Google Cloud Storage avec l'API REST APIC

Chaque option est autonome et peut être implémentée indépendamment en fonction des exigences de votre infrastructure et de vos préférences concernant le format des journaux.

Option 1 : Syslog avec l'agent Bindplane

Cette option configure le fabric Cisco ACI pour qu'il envoie des messages syslog à un agent Bindplane, qui les transfère à Google Security Operations pour analyse.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Un hôte Windows 2016 ou version ultérieure, ou Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console Cisco APIC

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Accédez à Paramètres du SIEM > Agents de collecte.
  2. Téléchargez le fichier d'authentification d'ingestion.
  3. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Accédez à Paramètres SIEM> Profil.
  2. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Pour obtenir d'autres options d'installation, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accéder au fichier de configuration

  1. Trouvez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
  2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  3. Modifiez le fichier config.yaml :

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'CISCO_ACI'
    raw_log_field: body
    ingestion_labels:
      service:

pipelines:
  logs/source0__chronicle_w_labels-0:
    receivers:
      - udplog
    exporters:
      - chronicle/chronicle_w_labels
    • Remplacez l'élément suivant :
      • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
      • Remplacez <CUSTOMER_ID> par le numéro client réel.
      • Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès à l'emplacement où le fichier d'authentification a été enregistré.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer le transfert Syslog sur Cisco ACI

Configurer le contrat de gestion hors bande

  1. Connectez-vous à la console Cisco APIC.
  2. Accédez à Tenants > mgmt > Contracts > Filters.
  3. Cliquez sur Créer un filtre.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez syslog-udp-514.
    • Nom de l'entrée : saisissez syslog.
    • EtherType : sélectionnez IP.
    • Protocole IP : sélectionnez UDP.
    • Plage de ports de destination (de) : saisissez 514.
    • Plage de ports de destination (jusqu'à) : saisissez 514.
  5. Cliquez sur Envoyer.

Créer un contrat de gestion

  1. Accédez à Tenants> mgmt> Contracts> Standard.
  2. Cliquez sur Créer un contrat.
  3. Fournissez les informations de configuration suivantes :
    • Nom : saisissez mgmt-syslog-contract.
    • Portée : sélectionnez Contexte.
  4. Cliquez sur Envoyer.
  5. Développez le contrat, puis cliquez sur Sujets.
  6. Cliquez sur Créer un objet de contrat.
  7. Fournissez les informations de configuration suivantes :
    • Nom : saisissez syslog-subject.
    • Appliquer les deux sens : cochez cette option.
  8. Cliquez sur Envoyer.
  9. Développez le sujet, puis cliquez sur Filtres.
  10. Cliquez sur Créer une liaison de filtre.
  11. Sélectionnez le filtre syslog-udp-514.
  12. Cliquez sur Envoyer.

Configurer un groupe de destinations Syslog

  1. Accédez à Administration > Collecteurs de données externes > Destinations de surveillance > Syslog.
  2. Effectuez un clic droit sur Syslog, puis sélectionnez Créer un groupe de destinations de surveillance Syslog.
  3. Fournissez les informations de configuration suivantes :
    • Nom : saisissez Chronicle-Syslog-Group.
    • État de l'administrateur : sélectionnez Activé.
    • Format : sélectionnez aci.
  4. Cliquez sur Suivant.
  5. Dans la boîte de dialogue Créer une destination de surveillance Syslog :
    • Nom : saisissez Chronicle-BindPlane.
    • Hôte : saisissez l'adresse IP de votre serveur d'agent Bindplane.
    • Port : saisissez 514.
    • État de l'administrateur : sélectionnez Activé.
    • Gravité : sélectionnez Informations (pour capturer les journaux détaillés).
  6. Cliquez sur Envoyer.

Configurer des règles de surveillance

Règles de surveillance de Fabric
  1. Accédez à Fabric > Fabric Policies > Policies > Monitoring > Common Policy (Structure > Règles de structure > Règles > Surveillance > Règle commune).
  2. Développez Callhome/Smart Callhome/SNMP/Syslog/TACACS.
  3. Effectuez un clic droit sur Syslog, puis sélectionnez Créer une source Syslog.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez Chronicle-Fabric-Syslog.
    • Journaux d'audit : cochez cette case pour inclure les événements d'audit.
    • Événements : cochez cette case pour inclure les événements système.
    • Défauts : cochez cette case pour inclure les événements de défaut.
    • Journaux de session : cochez cette case pour inclure les journaux de session.
    • Groupe de destinations : sélectionnez Chronicle-Syslog-Group.
  5. Cliquez sur Envoyer.
Règles de surveillance des accès
  1. Accédez à Structure > Règles d'accès > Règles > Surveillance > Règle par défaut.
  2. Développez Callhome/Smart Callhome/SNMP/Syslog.
  3. Effectuez un clic droit sur Syslog, puis sélectionnez Créer une source Syslog.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez Chronicle-Access-Syslog.
    • Journaux d'audit : cochez cette case pour inclure les événements d'audit.
    • Événements : cochez cette case pour inclure les événements système.
    • Défauts : cochez cette case pour inclure les événements de défaut.
    • Journaux de session : cochez cette case pour inclure les journaux de session.
    • Groupe de destinations : sélectionnez Chronicle-Syslog-Group.
  5. Cliquez sur Envoyer.

Configurer la règle "Messages Syslog système"

  1. Accédez à Fabric > Fabric Policies > Policies > Monitoring > Common Policy (Structure > Règles de structure > Règles > Surveillance > Règle commune).
  2. Développez Règles relatives aux messages Syslog.
  3. Cliquez sur par défaut.
  4. Dans la section Filtre des établissements :
    • Établissement : sélectionnez par défaut.
    • Gravité minimale : remplacez la valeur par information.
  5. Cliquez sur Envoyer.

Option 2 : JSON à l'aide de Google Cloud Storage

Cette option utilise l'API REST APIC pour collecter les événements, les erreurs et les journaux d'audit au format JSON à partir du fabric Cisco ACI, et les stocke dans Google Cloud Storage pour l'ingestion Google SecOps.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Projet GCP avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
  • Accès privilégié à la console Cisco APIC

Recueillir les conditions préalables de Cisco ACI APIC

Obtenir des identifiants APIC

  1. Connectez-vous à la console Cisco APIC à l'aide du protocole HTTPS.

  2. Accédez à Admin> AAA (sur APIC 6.0 ou version ultérieure) ou Admin> Authentification> AAA (sur les versions antérieures).

  3. Créez ou utilisez un utilisateur local existant disposant des droits appropriés.

  4. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :

    • Nom d'utilisateur APIC : utilisateur local disposant d'un accès en lecture aux données de surveillance
    • Mot de passe APIC : mot de passe de l'utilisateur
    • URL APIC : URL HTTPS de votre APIC (par exemple, https://apic.example.com)

Créer un bucket Google Cloud Storage

  1. Accédez à la consoleGoogle Cloud .
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, cisco-aci-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez cisco-aci-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect Cisco ACI logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service (cisco-aci-collector-sa) des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket (par exemple, cisco-aci-logs).
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, cisco-aci-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez cisco-aci-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API REST Cisco APIC et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service cisco-aci-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Runtime (durée d'exécution) Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (cisco-aci-trigger).
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    • Sélectionnez Exiger l'authentification.
    • Sélectionnez Identity and Access Management (IAM).
  1. Faites défiler la page jusqu'à Conteneurs, mise en réseau, sécurité, puis développez cette section.
  2. Accédez à l'onglet Sécurité :
    • Compte de service : sélectionnez le compte de service (cisco-aci-collector-sa).

  3. Accédez à l'onglet Conteneurs :

    • Cliquez sur Variables et secrets.

    • Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

      Nom de la variable Exemple de valeur Description
      GCS_BUCKET cisco-aci-logs Nom du bucket GCS
      GCS_PREFIX cisco-aci-events Préfixe des fichiers journaux
      STATE_KEY cisco-aci-events/state.json Chemin d'accès au fichier d'état
      APIC_URL https://apic.example.com URL HTTPS de l'APIC
      APIC_USERNAME your-apic-username Nom d'utilisateur APIC
      APIC_PASSWORD your-apic-password Mot de passe APIC
      PAGE_SIZE 100 Enregistrements par page
      MAX_PAGES 10 Nombre maximal de pages par exécution

  4. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 300 secondes (5 minutes).

  5. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

  6. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  7. Cliquez sur Créer.

  8. Attendez que le service soit créé (1 à 2 minutes).

  9. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans le champ Point d'entrée.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import logging

# Configure logging
logger = logging.getLogger()
logger.setLevel(logging.INFO)

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-aci-events')
STATE_KEY = os.environ.get('STATE_KEY', 'cisco-aci-events/state.json')
APIC_URL = os.environ.get('APIC_URL')
APIC_USERNAME = os.environ.get('APIC_USERNAME')
APIC_PASSWORD = os.environ.get('APIC_PASSWORD')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '10'))

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Cisco ACI logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, APIC_URL, APIC_USERNAME, APIC_PASSWORD]):
        logger.error('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        last_timestamp = state.get('last_timestamp')
        if not last_timestamp:
            last_timestamp = (datetime.utcnow() - timedelta(hours=1)).isoformat() + 'Z'

        logger.info(f"Starting Cisco ACI data collection for bucket: {GCS_BUCKET}")

        # Authenticate to APIC
        session_token = authenticate_apic(APIC_URL, APIC_USERNAME, APIC_PASSWORD)
        headers = {
            'Cookie': f'APIC-cookie={session_token}',
            'Accept': 'application/json',
            'Content-Type': 'application/json'
        }

        # Data types to collect
        data_types = ['faultInst', 'eventRecord', 'aaaModLR']
        all_collected_data = []

        for data_type in data_types:
            logger.info(f"Collecting {data_type} data")
            collected_data = collect_aci_data(
                APIC_URL,
                headers,
                data_type,
                last_timestamp,
                PAGE_SIZE,
                MAX_PAGES
            )

            # Tag each record with its type
            for record in collected_data:
                record['_data_type'] = data_type

            all_collected_data.extend(collected_data)
            logger.info(f"Collected {len(collected_data)} {data_type} records")

        logger.info(f"Total records collected: {len(all_collected_data)}")

        # Store data in GCS if any were collected
        if all_collected_data:
            timestamp_str = datetime.utcnow().strftime('%Y%m%d_%H%M%S')
            s3_key = f"{GCS_PREFIX}/cisco_aci_events_{timestamp_str}.ndjson"

            # Convert to NDJSON format (one JSON object per line)
            ndjson_content = '\n'.join(json.dumps(record) for record in all_collected_data)

            # Upload to GCS
            blob = bucket.blob(s3_key)
            blob.upload_from_string(
                ndjson_content,
                content_type='application/x-ndjson'
            )

            logger.info(f"Uploaded {len(all_collected_data)} records to gs://{GCS_BUCKET}/{s3_key}")

            # Update state file with latest timestamp from collected data
            latest_timestamp = get_latest_timestamp_from_records(all_collected_data)
            if not latest_timestamp:
                latest_timestamp = datetime.utcnow().isoformat() + 'Z'

            update_state(bucket, STATE_KEY, latest_timestamp)
        else:
            logger.info("No new log records found.")

        logger.info(f"Successfully processed {len(all_collected_data)} records")

    except Exception as e:
        logger.error(f'Error processing logs: {str(e)}')
        raise

def authenticate_apic(apic_url, username, password):
    """Authenticate to APIC and return session token"""
    login_url = f"{apic_url}/api/aaaLogin.json"
    login_data = {
        "aaaUser": {
            "attributes": {
                "name": username,
                "pwd": password
            }
        }
    }

    response = http.request(
        'POST',
        login_url,
        body=json.dumps(login_data).encode('utf-8'),
        headers={'Content-Type': 'application/json'},
        timeout=30
    )

    if response.status != 200:
        raise RuntimeError(f"APIC authentication failed: {response.status} {response.data[:256]!r}")

    response_data = json.loads(response.data.decode('utf-8'))
    token = response_data['imdata'][0]['aaaLogin']['attributes']['token']
    logger.info("Successfully authenticated to APIC")
    return token

def collect_aci_data(apic_url, headers, data_type, last_timestamp, page_size, max_pages):
    """Collect data from APIC REST API with pagination"""
    all_data = []
    page = 0

    while page < max_pages:
        # Build API URL with pagination and time filters
        api_url = f"{apic_url}/api/class/{data_type}.json"
        params = [
            f'page-size={page_size}',
            f'page={page}',
            f'order-by={data_type}.created|asc'
        ]

        # Add time filter to prevent duplicates
        if last_timestamp:
            params.append(f'query-target-filter=gt({data_type}.created,"{last_timestamp}")')

        full_url = f"{api_url}?{'&'.join(params)}"

        logger.info(f"Fetching {data_type} page {page} from APIC")

        # Make API request
        response = http.request('GET', full_url, headers=headers, timeout=60)

        if response.status != 200:
            logger.error(f"API request failed: {response.status} {response.data[:256]!r}")
            break

        data = json.loads(response.data.decode('utf-8'))
        records = data.get('imdata', [])

        if not records:
            logger.info(f"No more {data_type} records found")
            break

        # Extract the actual data from APIC format
        extracted_records = []
        for record in records:
            if data_type in record:
                extracted_records.append(record[data_type])

        all_data.extend(extracted_records)
        page += 1

        # If we got less than page_size records, we've reached the end
        if len(records) < page_size:
            break

    return all_data

def get_last_timestamp(bucket, state_key):
    """Get the last run timestamp from GCS state file"""
    try:
        blob = bucket.blob(state_key)
        if blob.exists():
            state_data = blob.download_as_text()
            state = json.loads(state_data)
            return state.get('last_timestamp')
    except Exception as e:
        logger.warning(f"Error reading state file: {str(e)}")

    return None

def get_latest_timestamp_from_records(records):
    """Get the latest timestamp from collected records to prevent missing events"""
    if not records:
        return None

    latest = None
    latest_time = None

    for record in records:
        try:
            # Handle both direct attributes and nested structure
            attrs = record.get('attributes', record)
            created = attrs.get('created')
            modTs = attrs.get('modTs')

            # Use created or modTs as fallback
            timestamp = created or modTs

            if timestamp:
                if latest_time is None or timestamp > latest_time:
                    latest_time = timestamp
                    latest = record
        except Exception as e:
            logger.debug(f"Error parsing timestamp from record: {e}")
            continue

    return latest_time

def update_state(bucket, state_key, timestamp):
    """Update the state file with the current timestamp"""
    try:
        state_data = {
            'last_timestamp': timestamp,
            'updated_at': datetime.utcnow().isoformat() + 'Z'
        }
        blob = bucket.blob(state_key)
        blob.upload_from_string(
            json.dumps(state_data),
            content_type='application/json'
        )
        logger.info(f"Updated state file with timestamp: {timestamp}")
    except Exception as e:
        logger.error(f"Error updating state file: {str(e)}")

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        logger.warning(f"Could not load state: {e}")

    return {}
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom cisco-aci-collector-15m
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence */15 * * * * (toutes les 15 minutes)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Topic Sélectionnez le sujet Pub/Sub (cisco-aci-trigger).
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de planification

  • Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

    Fréquence Expression Cron Cas d'utilisation
    Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
    Toutes les 15 minutes */15 * * * * Volume moyen (recommandé)
    Toutes les heures 0 * * * * Standard
    Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
    Tous les jours 0 0 * * * Collecte de données historiques

Tester l'intégration

  1. Dans la console Cloud Scheduler, recherchez votre job (cisco-aci-collector-15m).
  2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
  3. Patientez pendant quelques secondes.
  4. Accédez à Cloud Run > Services.
  5. Cliquez sur le nom de votre fonction (cisco-aci-collector).
  6. Cliquez sur l'onglet Journaux.

  7. Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

    Starting Cisco ACI data collection for bucket: cisco-aci-logs
Successfully authenticated to APIC
Collecting faultInst data
Collected X faultInst records
Collecting eventRecord data
Collected X eventRecord records
Collecting aaaModLR data
Collected X aaaModLR records
Total records collected: X
Uploaded X records to gs://cisco-aci-logs/cisco-aci-events/cisco_aci_events_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Accédez à Cloud Storage > Buckets.

  9. Cliquez sur le nom de votre bucket (cisco-aci-logs).

  10. Accédez au dossier de préfixe (cisco-aci-events/).

  11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

  • HTTP 401 : vérifiez les identifiants APIC dans les variables d'environnement.
  • HTTP 403 : vérifiez que le compte APIC dispose des autorisations de lecture pour les classes faultInst, eventRecord et aaaModLR.
  • Erreurs de connexion : vérifiez que la fonction Cloud Run peut accéder à l'URL APIC sur TCP/443.
  • Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Cisco ACI JSON logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Cisco Application Centric Infrastructure comme type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail. Vous en aurez besoin lors de la tâche suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket (cisco-aci-logs).
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
  6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux Cisco ACI

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Cisco ACI JSON logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Cisco Application Centric Infrastructure comme type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

      gs://cisco-aci-logs/cisco-aci-events/
      • Remplacez :
        • cisco-aci-logs : nom de votre bucket GCS.
        • cisco-aci-events : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
@timestamp read_only_udm.metadata.event_timestamp La valeur est extraite du champ de journal brut "@timestamp" et analysée en tant que code temporel.
aci_tag read_only_udm.metadata.product_log_id La valeur est extraite du champ de journal brut "aci_tag".
cisco_timestamp - Non mappé.
DIP read_only_udm.target.ip La valeur est extraite du champ de journal brut "DIP".
DPort read_only_udm.target.port La valeur est extraite du champ de journal brut "DPort" et convertie en entier.
description read_only_udm.security_result.description La valeur est extraite du champ de journal brut "description".
fault_cause read_only_udm.additional.fields.value.string_value La valeur est extraite du champ de journal brut "fault_cause". La clé est définie sur "Cause du problème".
nom d'hôte read_only_udm.principal.hostname La valeur est extraite du champ de journal brut "hostname".
lifecycle_state read_only_udm.metadata.product_event_type La valeur est extraite du champ de journal brut "lifecycle_state".
log.source.address - Non mappé.
logstash.collect.host - Non mappé.
logstash.collect.timestamp read_only_udm.metadata.collected_timestamp La valeur est extraite du champ de journal brut "logstash.collect.timestamp" et analysée en tant qu'horodatage.
logstash.ingest.host read_only_udm.intermediary.hostname La valeur est extraite du champ de journal brut "logstash.ingest.host".
logstash.irm_environment read_only_udm.additional.fields.value.string_value La valeur est extraite du champ de journal brut "logstash.irm_environment". La clé est définie sur "IRM_Environment".
logstash.irm_region read_only_udm.additional.fields.value.string_value La valeur est extraite du champ de journal brut "logstash.irm_region". La clé est définie sur "IRM_Region".
logstash.irm_site read_only_udm.additional.fields.value.string_value La valeur est extraite du champ de journal brut "logstash.irm_site". La clé est définie sur "IRM_Site".
logstash.process.host read_only_udm.intermediary.hostname La valeur est extraite du champ de journal brut "logstash.process.host".
message - Non mappé.
message_class - Non mappé.
message_code - Non mappé.
message_content - Non mappé.
message_dn - Non mappé.
message_type read_only_udm.metadata.product_event_type La valeur est extraite du champ de journal brut "message_type" après suppression des crochets.
node_link read_only_udm.principal.process.file.full_path La valeur est extraite du champ de journal brut "node_link".
PktLen read_only_udm.network.received_bytes La valeur est extraite du champ de journal brut "PktLen" et convertie en entier non signé.
programme - Non mappé.
Proto read_only_udm.network.ip_protocol La valeur est extraite du champ de journal brut "Proto", convertie en entier et mappée au nom du protocole IP correspondant (par exemple, 6 > TCP).
SIP read_only_udm.principal.ip La valeur est extraite du champ de journal brut "SIP".
SPort read_only_udm.principal.port La valeur est extraite du champ de journal brut "SPort" et convertie en entier.
syslog_facility - Non mappé.
syslog_facility_code - Non mappé.
syslog_host read_only_udm.principal.ip, read_only_udm.observer.ip La valeur est extraite du champ de journal brut "syslog_host".
syslog_prog - Non mappé.
syslog_severity read_only_udm.security_result.severity_details La valeur est extraite du champ de journal brut "syslog_severity".
syslog_severity_code read_only_udm.security_result.severity La valeur est extraite du champ de journal brut "syslog_severity_code" et mappée au niveau de gravité correspondant : 5, 6, 7 → INFORMATIONAL ; 3, 4 → MEDIUM ; 0, 1, 2 → HIGH.
syslog5424_pri - Non mappé.
Vlan-Id read_only_udm.principal.resource.id La valeur est extraite du champ de journal brut "Vlan-Id".
- read_only_udm.metadata.event_type Logique : si "SIP" ou "hostname" sont présents et que "Proto" est présent, définissez la valeur sur "NETWORK_CONNECTION". Sinon, si "SIP", "hostname" ou "syslog_host" sont présents, définissez la valeur sur "STATUS_UPDATE". Sinon, définissez-le sur "GENERIC_EVENT".
- read_only_udm.metadata.log_type Logique : définissez la valeur sur "CISCO_ACI".
- read_only_udm.metadata.vendor_name Logique : définie sur "Cisco".
- read_only_udm.metadata.product_name Logique : définissez la valeur sur "ACI".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.