收集 Cisco 應用程式中心基礎架構 (ACI) 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 Cisco Application Centric Infrastructure (ACI) 記錄擷取至 Google Security Operations。剖析器會先嘗試使用 Grok 模式,將傳入的 Cisco ACI 記錄處理為系統記錄訊息。如果無法剖析系統記錄,系統會假設訊息採用 JSON 格式,並據此進行剖析。最後,將擷取的欄位對應至統合式資料模型 (UDM)。
這項整合支援兩種方法:
- 選項 1:使用 Bindplane 代理程式的 Syslog 格式
- 選項 2:使用 Google Cloud Storage 的 JSON 格式,透過 APIC REST API 匯出
每個選項都是獨立的,您可以根據基礎架構需求和記錄格式偏好,獨立實作這些選項。
選項 1:使用 Bindplane 代理程式的系統記錄
這個選項會設定 Cisco ACI 網狀架構,將系統記錄訊息傳送至 Bindplane 代理程式,再由該代理程式將訊息轉送至 Google Security Operations 進行分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 搭載
systemd的 Windows 2016 以上版本或 Linux 主機 - 如果透過 Proxy 執行,請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
- Cisco APIC 控制台的特殊權限
取得 Google SecOps 擷取驗證檔案
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
- 將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以管理員身分開啟命令提示字元或 PowerShell。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
安裝 Linux
- 開啟具備根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需其他安裝選項,請參閱 Bindplane 代理程式安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。 編輯 config.yaml 檔案:
receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_ACI' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 取代下列項目:
- 視基礎架構需求,替換通訊埠和 IP 位址。
- 將
<CUSTOMER_ID>替換為實際的客戶 ID。 - 將
/path/to/ingestion-authentication-file.json更新為驗證檔案的儲存路徑。
- 取代下列項目:
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用服務控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Cisco ACI 上設定 Syslog 轉送
設定頻外管理合約
- 登入 Cisco APIC 控制台。
- 依序前往「Tenants」>「mgmt」>「Contracts」>「Filters」。
- 按一下「建立篩選器」。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
syslog-udp-514。 - 項目名稱:輸入
syslog。 - EtherType:選取「IP」。
- IP 通訊協定:選取「UDP」。
- 目標通訊埠範圍 (從):輸入
514。 - 目標位置通訊埠範圍至:輸入
514。
- 「Name」(名稱):輸入
- 按一下「提交」。
建立管理合約
- 依序前往「Tenants」>「mgmt」>「Contracts」>「Standard」。
- 按一下「建立合約」。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
mgmt-syslog-contract。 - 範圍:選取「內容」。
- 「Name」(名稱):輸入
- 按一下「提交」。
- 展開合約,然後按一下「主題」。
- 按一下「建立合約主題」。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
syslog-subject。 - 同時套用兩個方向:勾選這個選項。
- 「Name」(名稱):輸入
- 按一下「提交」。
- 展開主題,然後按一下「篩選器」。
- 按一下「建立篩選器繫結」。
- 選取
syslog-udp-514篩選器。 - 按一下「提交」。
設定系統記錄目的地群組
- 依序前往「管理」>「外部資料收集器」>「監控目的地」>「系統記錄」。
- 在「Syslog」上按一下滑鼠右鍵,然後選取「Create Syslog Monitoring Destination Group」(建立 Syslog 監控目的地群組)。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
Chronicle-Syslog-Group。 - 管理狀態:選取「已啟用」。
- 格式:選取 aci。
- 「Name」(名稱):輸入
- 點選 [下一步]。
- 在「建立系統記錄檔監控目的地」對話方塊中:
- 「Name」(名稱):輸入
Chronicle-BindPlane。 - 主機:輸入 Bindplane 代理程式伺服器的 IP 位址。
- 「Port」(通訊埠):輸入
514。 - 管理狀態:選取「已啟用」。
- 嚴重程度:選取「資訊」 (擷取詳細記錄)。
- 「Name」(名稱):輸入
- 按一下「提交」。
設定監控政策
Fabric 監控政策
- 依序前往「Fabric」>「Fabric Policies」>「Policies」>「Monitoring」>「Common Policy」。
- 展開「Callhome/Smart Callhome/SNMP/Syslog/TACACS」。
- 在「Syslog」上按一下滑鼠右鍵,然後選取「Create Syslog Source」(建立 Syslog 來源)。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
Chronicle-Fabric-Syslog。 - 稽核記錄:勾選這個選項即可納入稽核事件。
- 事件:勾選這個選項可納入系統事件。
- 故障:勾選這個選項可納入故障事件。
- 工作階段記錄:勾選即可納入工作階段記錄。
- 目的地群組:選取
Chronicle-Syslog-Group。
- 「Name」(名稱):輸入
- 按一下「提交」。
存取監控政策
- 依序前往「Fabric」>「Access Policies」>「Policies」>「Monitoring」>「Default Policy」。
- 展開「Callhome/Smart Callhome/SNMP/Syslog」。
- 在「Syslog」上按一下滑鼠右鍵,然後選取「Create Syslog Source」(建立 Syslog 來源)。
- 請提供下列設定詳細資料:
- 「Name」(名稱):輸入
Chronicle-Access-Syslog。 - 稽核記錄:勾選這個選項即可納入稽核事件。
- 事件:勾選這個選項可納入系統事件。
- 故障:勾選這個選項可納入故障事件。
- 工作階段記錄:勾選即可納入工作階段記錄。
- 目的地群組:選取
Chronicle-Syslog-Group。
- 「Name」(名稱):輸入
- 按一下「提交」。
設定系統 Syslog 訊息政策
- 依序前往「Fabric」>「Fabric Policies」>「Policies」>「Monitoring」>「Common Policy」。
- 展開「Syslog Messages Policies」(系統記錄訊息政策)。
- 點選「default」。
- 在「機構篩選器」部分:
- 設施:選取「預設」。
- 最低嚴重程度:變更為「資訊」。
- 按一下「提交」。
選項 2:使用 Google Cloud Storage 中的 JSON 檔案
這個選項會使用 APIC REST API,從 Cisco ACI 網狀架構收集 JSON 格式的事件、錯誤和稽核記錄,並儲存在 Google Cloud Storage 中,供 Google SecOps 擷取。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已啟用 Cloud Storage API 的 GCP 專案
- 建立及管理 GCS 值區的權限
- 管理 Google Cloud Storage 值區 IAM 政策的權限
- 建立 Cloud Run 服務、Pub/Sub 主題和 Cloud Scheduler 工作的權限
- Cisco APIC 控制台的特殊權限
收集 Cisco ACI APIC 先決條件
取得 APIC 憑證
- 使用 HTTPS 登入 Cisco APIC 控制台。
依序前往「Admin」>「AAA」 (適用於 APIC 6.0 以上版本),或「Admin」>「Authentication」>「AAA」 (適用於舊版)。
建立或使用具有適當權限的現有本機使用者。
複製下列詳細資料並存放在安全的地方:
- APIC 使用者名稱:具有監控資料讀取權的本機使用者
- APIC 密碼:使用者密碼
- APIC 網址:APIC 的 HTTPS 網址 (例如
https://apic.example.com)
建立 Google Cloud Storage 值區
- 前往 Google Cloud 控制台。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 cisco-aci-logs)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取位置 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
為 Cloud Run 函式建立服務帳戶
Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶,並由 Pub/Sub 叫用。
建立服務帳戶
- 在 GCP 主控台中,依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下 [Create Service Account] (建立服務帳戶)。
- 請提供下列設定詳細資料:
- 服務帳戶名稱:輸入
cisco-aci-collector-sa。 - 服務帳戶說明:輸入
Service account for Cloud Run function to collect Cisco ACI logs。
- 服務帳戶名稱:輸入
- 按一下「建立並繼續」。
- 在「將專案存取權授予這個服務帳戶」部分,新增下列角色:
- 按一下「選擇角色」。
- 搜尋並選取「Storage 物件管理員」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Run Invoker」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
- 按一下「繼續」。
- 按一下 [完成]。
這些角色適用於:
- Storage 物件管理員:將記錄檔寫入 GCS 值區,並管理狀態檔案
- Cloud Run 叫用者:允許 Pub/Sub 叫用函式
- Cloud Functions 叫用者:允許函式叫用
授予 GCS 值區的 IAM 權限
將 GCS bucket 的寫入權限授予服務帳戶 (cisco-aci-collector-sa):
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱 (例如
cisco-aci-logs)。 - 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:輸入服務帳戶電子郵件地址 (例如
cisco-aci-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。 - 指派角色:選取「Storage 物件管理員」。
- 新增主體:輸入服務帳戶電子郵件地址 (例如
- 按一下 [儲存]。
建立 Pub/Sub 主題
建立 Pub/Sub 主題,Cloud Scheduler 會將訊息發布至該主題,而 Cloud Run 函式會訂閱該主題。
- 在 GCP Console 中,前往「Pub/Sub」>「Topics」(主題)。
- 按一下「建立主題」。
- 請提供下列設定詳細資料:
- 主題 ID:輸入
cisco-aci-trigger。 - 其他設定保留預設值。
- 主題 ID:輸入
- 點選「建立」。
建立 Cloud Run 函式來收集記錄
Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發,從 Cisco APIC REST API 擷取記錄,並寫入 GCS。
- 前往 GCP Console 的「Cloud Run」。
- 按一下「Create service」(建立服務)。
- 選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分,提供下列設定詳細資料:
設定 值 服務名稱 cisco-aci-collector區域 選取與 GCS bucket 相符的區域 (例如 us-central1)執行階段 選取「Python 3.12」以上版本 在「Trigger (optional)」(觸發條件 (選用)) 專區:
- 按一下「+ 新增觸發條件」。
- 選取「Cloud Pub/Sub」。
- 在「選取 Cloud Pub/Sub 主題」中,選擇 Pub/Sub 主題 (
cisco-aci-trigger)。 - 按一下 [儲存]。
在「Authentication」(驗證) 部分:
- 選取「需要驗證」。
- 選取「Identity and Access Management (IAM)」。
- 捲動至「Containers, Networking, Security」(容器、網路、安全性) 並展開。
- 前往「安全性」分頁:
- 服務帳戶:選取服務帳戶 (
cisco-aci-collector-sa)。
- 服務帳戶:選取服務帳戶 (
前往「容器」分頁:
- 按一下「變數與密鑰」。
針對每個環境變數,按一下「+ 新增變數」:
變數名稱 範例值 說明 GCS_BUCKETcisco-aci-logsGCS bucket 名稱 GCS_PREFIXcisco-aci-events記錄檔的前置字串 STATE_KEYcisco-aci-events/state.json狀態檔案路徑 APIC_URLhttps://apic.example.comAPIC HTTPS 網址 APIC_USERNAMEyour-apic-usernameAPIC 使用者名稱 APIC_PASSWORDyour-apic-passwordAPIC 密碼 PAGE_SIZE100每頁記錄數 MAX_PAGES10每次執行的頁數上限
在「變數與 Secret」部分,捲動至「要求」:
- 要求逾時:輸入
300秒 (5 分鐘)。
- 要求逾時:輸入
前往「設定」分頁:
- 在「資源」部分:
- 記憶體:選取 512 MiB 以上。
- CPU:選取 1。
- 在「資源」部分:
在「修訂版本資源調度」部分:
- 執行個體數量下限:輸入
0。 - 「Maximum number of instances」(執行個體數量上限):輸入
100(或根據預期負載調整)。
- 執行個體數量下限:輸入
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後,系統會自動開啟內嵌程式碼編輯器。
新增函式程式碼
- 在「進入點」欄位中輸入「main」。
在內嵌程式碼編輯器中建立兩個檔案:
- 第一個檔案:main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import logging # Configure logging logger = logging.getLogger() logger.setLevel(logging.INFO) # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=60.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-aci-events') STATE_KEY = os.environ.get('STATE_KEY', 'cisco-aci-events/state.json') APIC_URL = os.environ.get('APIC_URL') APIC_USERNAME = os.environ.get('APIC_USERNAME') APIC_PASSWORD = os.environ.get('APIC_PASSWORD') PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100')) MAX_PAGES = int(os.environ.get('MAX_PAGES', '10')) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Cisco ACI logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, APIC_URL, APIC_USERNAME, APIC_PASSWORD]): logger.error('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) # Determine time window last_timestamp = state.get('last_timestamp') if not last_timestamp: last_timestamp = (datetime.utcnow() - timedelta(hours=1)).isoformat() + 'Z' logger.info(f"Starting Cisco ACI data collection for bucket: {GCS_BUCKET}") # Authenticate to APIC session_token = authenticate_apic(APIC_URL, APIC_USERNAME, APIC_PASSWORD) headers = { 'Cookie': f'APIC-cookie={session_token}', 'Accept': 'application/json', 'Content-Type': 'application/json' } # Data types to collect data_types = ['faultInst', 'eventRecord', 'aaaModLR'] all_collected_data = [] for data_type in data_types: logger.info(f"Collecting {data_type} data") collected_data = collect_aci_data( APIC_URL, headers, data_type, last_timestamp, PAGE_SIZE, MAX_PAGES ) # Tag each record with its type for record in collected_data: record['_data_type'] = data_type all_collected_data.extend(collected_data) logger.info(f"Collected {len(collected_data)} {data_type} records") logger.info(f"Total records collected: {len(all_collected_data)}") # Store data in GCS if any were collected if all_collected_data: timestamp_str = datetime.utcnow().strftime('%Y%m%d_%H%M%S') s3_key = f"{GCS_PREFIX}/cisco_aci_events_{timestamp_str}.ndjson" # Convert to NDJSON format (one JSON object per line) ndjson_content = '\n'.join(json.dumps(record) for record in all_collected_data) # Upload to GCS blob = bucket.blob(s3_key) blob.upload_from_string( ndjson_content, content_type='application/x-ndjson' ) logger.info(f"Uploaded {len(all_collected_data)} records to gs://{GCS_BUCKET}/{s3_key}") # Update state file with latest timestamp from collected data latest_timestamp = get_latest_timestamp_from_records(all_collected_data) if not latest_timestamp: latest_timestamp = datetime.utcnow().isoformat() + 'Z' update_state(bucket, STATE_KEY, latest_timestamp) else: logger.info("No new log records found.") logger.info(f"Successfully processed {len(all_collected_data)} records") except Exception as e: logger.error(f'Error processing logs: {str(e)}') raise def authenticate_apic(apic_url, username, password): """Authenticate to APIC and return session token""" login_url = f"{apic_url}/api/aaaLogin.json" login_data = { "aaaUser": { "attributes": { "name": username, "pwd": password } } } response = http.request( 'POST', login_url, body=json.dumps(login_data).encode('utf-8'), headers={'Content-Type': 'application/json'}, timeout=30 ) if response.status != 200: raise RuntimeError(f"APIC authentication failed: {response.status} {response.data[:256]!r}") response_data = json.loads(response.data.decode('utf-8')) token = response_data['imdata'][0]['aaaLogin']['attributes']['token'] logger.info("Successfully authenticated to APIC") return token def collect_aci_data(apic_url, headers, data_type, last_timestamp, page_size, max_pages): """Collect data from APIC REST API with pagination""" all_data = [] page = 0 while page < max_pages: # Build API URL with pagination and time filters api_url = f"{apic_url}/api/class/{data_type}.json" params = [ f'page-size={page_size}', f'page={page}', f'order-by={data_type}.created|asc' ] # Add time filter to prevent duplicates if last_timestamp: params.append(f'query-target-filter=gt({data_type}.created,"{last_timestamp}")') full_url = f"{api_url}?{'&'.join(params)}" logger.info(f"Fetching {data_type} page {page} from APIC") # Make API request response = http.request('GET', full_url, headers=headers, timeout=60) if response.status != 200: logger.error(f"API request failed: {response.status} {response.data[:256]!r}") break data = json.loads(response.data.decode('utf-8')) records = data.get('imdata', []) if not records: logger.info(f"No more {data_type} records found") break # Extract the actual data from APIC format extracted_records = [] for record in records: if data_type in record: extracted_records.append(record[data_type]) all_data.extend(extracted_records) page += 1 # If we got less than page_size records, we've reached the end if len(records) < page_size: break return all_data def get_last_timestamp(bucket, state_key): """Get the last run timestamp from GCS state file""" try: blob = bucket.blob(state_key) if blob.exists(): state_data = blob.download_as_text() state = json.loads(state_data) return state.get('last_timestamp') except Exception as e: logger.warning(f"Error reading state file: {str(e)}") return None def get_latest_timestamp_from_records(records): """Get the latest timestamp from collected records to prevent missing events""" if not records: return None latest = None latest_time = None for record in records: try: # Handle both direct attributes and nested structure attrs = record.get('attributes', record) created = attrs.get('created') modTs = attrs.get('modTs') # Use created or modTs as fallback timestamp = created or modTs if timestamp: if latest_time is None or timestamp > latest_time: latest_time = timestamp latest = record except Exception as e: logger.debug(f"Error parsing timestamp from record: {e}") continue return latest_time def update_state(bucket, state_key, timestamp): """Update the state file with the current timestamp""" try: state_data = { 'last_timestamp': timestamp, 'updated_at': datetime.utcnow().isoformat() + 'Z' } blob = bucket.blob(state_key) blob.upload_from_string( json.dumps(state_data), content_type='application/json' ) logger.info(f"Updated state file with timestamp: {timestamp}") except Exception as e: logger.error(f"Error updating state file: {str(e)}") def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: logger.warning(f"Could not load state: {e}") return {}- 第二個檔案:requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。
建立 Cloud Scheduler 工作
Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題,觸發 Cloud Run 函式。
- 前往 GCP 主控台的「Cloud Scheduler」。
- 點選「建立工作」。
請提供下列設定詳細資料:
設定 值 名稱 cisco-aci-collector-15m區域 選取與 Cloud Run 函式相同的區域 頻率 */15 * * * *(每 15 分鐘)時區 選取時區 (建議使用世界標準時間) 目標類型 Pub/Sub 主題 選取 Pub/Sub 主題 ( cisco-aci-trigger)郵件內文 {}(空白 JSON 物件)點選「建立」。
排程頻率選項
根據記錄檔量和延遲時間要求選擇頻率:
頻率 Cron 運算式 用途 每 5 分鐘 */5 * * * *高容量、低延遲 每 15 分鐘檢查一次 */15 * * * *中等音量 (建議) 每小時 0 * * * *標準 每 6 小時 0 */6 * * *少量、批次處理 每日 0 0 * * *歷來資料集合
測試整合項目
- 在 Cloud Scheduler 控制台中,找出您的作業 (
cisco-aci-collector-15m)。 - 按一下「強制執行」,手動觸發工作。
- 稍等幾秒鐘。
- 前往「Cloud Run」>「Services」。
- 按一下函式名稱 (
cisco-aci-collector)。 - 按一下 [Logs] (記錄) 分頁標籤。
確認函式是否已順利執行。請找出以下項目:
Starting Cisco ACI data collection for bucket: cisco-aci-logs Successfully authenticated to APIC Collecting faultInst data Collected X faultInst records Collecting eventRecord data Collected X eventRecord records Collecting aaaModLR data Collected X aaaModLR records Total records collected: X Uploaded X records to gs://cisco-aci-logs/cisco-aci-events/cisco_aci_events_YYYYMMDD_HHMMSS.ndjson Successfully processed X records依序前往「Cloud Storage」>「Buckets」。
按一下 bucket 名稱 (
cisco-aci-logs)。前往前置字元資料夾 (
cisco-aci-events/)。確認是否已建立含有目前時間戳記的新
.ndjson檔案。
如果在記錄中發現錯誤:
- HTTP 401:檢查環境變數中的 APIC 憑證
- HTTP 403:確認 APIC 帳戶是否具有
faultInst、eventRecord和aaaModLR類別的讀取權限 - 連線錯誤:確認 Cloud Run 函式是否能透過 TCP/443 連線至 APIC 網址
- 缺少環境變數:檢查是否已設定所有必要變數
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
取得服務帳戶電子郵件地址
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Cisco ACI JSON logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Cisco Application Centric Infrastructure」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,後續步驟會用到。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱 (
cisco-aci-logs)。 - 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
- 按一下 [儲存]。
在 Google SecOps 中設定資訊提供,擷取 Cisco ACI 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Cisco ACI JSON logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Cisco Application Centric Infrastructure」做為「記錄類型」。
- 點選 [下一步]。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://cisco-aci-logs/cisco-aci-events/- 取代:
cisco-aci-logs:您的 GCS bucket 名稱。cisco-aci-events:儲存記錄的前置字元/資料夾路徑。
- 取代:
來源刪除選項:根據偏好設定選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
- 刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
資產命名空間:資產命名空間。
擷取標籤:套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| @timestamp | read_only_udm.metadata.event_timestamp | 值取自原始記錄欄位「@timestamp」,並剖析為時間戳記。 |
| aci_tag | read_only_udm.metadata.product_log_id | 值取自原始記錄欄位「aci_tag」。 |
| cisco_timestamp | - | 未對應。 |
| DIP | read_only_udm.target.ip | 值取自原始記錄欄位「DIP」。 |
| DPort | read_only_udm.target.port | 值取自原始記錄欄位「DPort」,並轉換為整數。 |
| 說明 | read_only_udm.security_result.description | 值取自原始記錄檔欄位「description」。 |
| fault_cause | read_only_udm.additional.fields.value.string_value | 值取自原始記錄欄位「fault_cause」。金鑰設為「Fault Cause」。 |
| 主機名稱 | read_only_udm.principal.hostname | 值取自原始記錄檔欄位「hostname」。 |
| lifecycle_state | read_only_udm.metadata.product_event_type | 值取自原始記錄欄位「lifecycle_state」。 |
| log.source.address | - | 未對應。 |
| logstash.collect.host | - | 未對應。 |
| logstash.collect.timestamp | read_only_udm.metadata.collected_timestamp | 值取自原始記錄欄位「logstash.collect.timestamp」,並剖析為時間戳記。 |
| logstash.ingest.host | read_only_udm.intermediary.hostname | 值取自原始記錄欄位「logstash.ingest.host」。 |
| logstash.irm_environment | read_only_udm.additional.fields.value.string_value | 值取自原始記錄檔欄位「logstash.irm_environment」。金鑰設為「IRM_Environment」。 |
| logstash.irm_region | read_only_udm.additional.fields.value.string_value | 值取自原始記錄檔欄位「logstash.irm_region」。金鑰設為「IRM_Region」。 |
| logstash.irm_site | read_only_udm.additional.fields.value.string_value | 值取自原始記錄欄位「logstash.irm_site」。金鑰設為「IRM_Site」。 |
| logstash.process.host | read_only_udm.intermediary.hostname | 值取自原始記錄欄位「logstash.process.host」。 |
| 訊息 | - | 未對應。 |
| message_class | - | 未對應。 |
| message_code | - | 未對應。 |
| message_content | - | 未對應。 |
| message_dn | - | 未對應。 |
| message_type | read_only_udm.metadata.product_event_type | 從原始記錄欄位「message_type」中移除方括號後,即可取得值。 |
| node_link | read_only_udm.principal.process.file.full_path | 值取自原始記錄欄位「node_link」。 |
| PktLen | read_only_udm.network.received_bytes | 值取自原始記錄欄位「PktLen」,並轉換為無正負號整數。 |
| 程式 | - | 未對應。 |
| Proto | read_only_udm.network.ip_protocol | 值取自原始記錄欄位「Proto」,轉換為整數,並對應至相應的 IP 通訊協定名稱 (例如 6 -> TCP)。 |
| SIP | read_only_udm.principal.ip | 值取自原始記錄檔欄位「SIP」。 |
| SPort | read_only_udm.principal.port | 值取自原始記錄欄位「SPort」,並轉換為整數。 |
| syslog_facility | - | 未對應。 |
| syslog_facility_code | - | 未對應。 |
| syslog_host | read_only_udm.principal.ip、read_only_udm.observer.ip | 值取自原始記錄欄位「syslog_host」。 |
| syslog_prog | - | 未對應。 |
| syslog_severity | read_only_udm.security_result.severity_details | 值取自原始記錄欄位「syslog_severity」。 |
| syslog_severity_code | read_only_udm.security_result.severity | 值取自原始記錄欄位「syslog_severity_code」,並對應至相應的嚴重程度:5、6、7 -> INFORMATIONAL;3、4 -> MEDIUM;0、1、2 -> HIGH。 |
| syslog5424_pri | - | 未對應。 |
| Vlan-Id | read_only_udm.principal.resource.id | 值取自原始記錄欄位「Vlan-Id」。 |
| - | read_only_udm.metadata.event_type | 邏輯:如果存在「SIP」或「主機名稱」,且存在「Proto」,則設為「NETWORK_CONNECTION」。否則,如果存在「SIP」、「hostname」或「syslog_host」,請設為「STATUS_UPDATE」。否則請設為「GENERIC_EVENT」。 |
| - | read_only_udm.metadata.log_type | 邏輯:設為「CISCO_ACI」。 |
| - | read_only_udm.metadata.vendor_name | 邏輯:設為「Cisco」。 |
| - | read_only_udm.metadata.product_name | 邏輯:設為「ACI」。 |
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。