收集 Cisco CTS 日志
本文档介绍了如何使用 Bindplane 代理将 Cisco CTS 日志注入到 Google Security Operations。
Cisco TelePresence System (CTS) 是指旧版视频会议硬件端点,包括 CTS 500、CTS 1000、CTS 1100、CTS 1300、CTS 3000、CTS 3200 和 TX 系列系统。这些沉浸式远程呈现会议室系统提供高清视频会议功能,并通过 Cisco Unified Communications Manager (CUCM) 进行管理。系统会针对系统操作、通话活动和问题排查生成 syslog 消息。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Cisco TelePresence System 之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Cisco Unified Communications Manager (CUCM) 的管理员访问权限
- 对 Cisco TelePresence 系统管理界面的管理员访问权限
- 从 CTS 解码器到 Bindplane 代理的 UDP 端口 514(或配置的端口)的网络连接
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_cts: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: CISCO_CTS raw_log_field: body service: pipelines: logs/cts_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_cts替换以下占位符:
接收器配置:
- 接收器使用
udplog进行 UDP syslog(CTS 设备的标准) listen_address设置为0.0.0.0:514,以在 UDP 端口 514 上监听所有接口- 对于以非 root 身份运行的 Linux 系统,请将端口更改为
1514或更高值
- 接收器使用
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:将YOUR_CUSTOMER_ID替换为您的customer ID。如需了解详情,请参阅获取 Google SecOps 客户 ID。endpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:设置为CISCO_CTS(需要完全匹配)
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请执行以下操作:
运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请执行以下操作:
请从下列选项中选择一项:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 Cisco CTS syslog 转发
Cisco TelePresence System (CTS) syslog 转发通过 Cisco Unified Communications Manager (CUCM) 进行配置。必须在每个 CTS 设备的“产品特定配置布局”中配置外部 Syslog 地址。
在 CUCM 中配置外部 syslog 地址
- 使用网络浏览器登录 Cisco Unified Communications Manager 管理界面。
- 依次前往设备 > 电话。
- 使用搜索功能找到您的 Cisco TelePresence System 设备。
- 点击设备名称,打开手机配置窗口。
- 向下滚动到特定于产品的配置布局部分。
- 找到外部 SYSLOG 地址字段。
在外部 SYSLOG 地址字段中,输入 syslog 服务器地址,格式如下:
- 仅限 IP 地址:
192.168.1.100(使用默认端口 514) - IP 地址及端口:
192.168.1.100:514 - 仅限主机名:
bindplane-server.example.com(使用默认端口 514) - 包含端口的主机名:
bindplane-server.example.com:1514
- 仅限 IP 地址:
点击页面底部的保存以保存配置。
点击 Apply Config 以将更改应用到设备。
点击重置或重启以重启 CTS 设备并激活 syslog 转发。
验证 CTS 设备上的 syslog 配置
- 打开网络浏览器,然后前往
https://<CTS-IP-ADDRESS>处的 CTS 管理界面。 - 使用在 CUCM 中配置的 SSH 管理员用户名和密码登录。
- 依次前往配置 > 网络设置。
验证 Syslog 地址字段是否显示 Bindplane 代理的 IP 地址或主机名。
为多个 CTS 设备配置 syslog
如果您有多个 CTS 设备,请为每个设备重复执行配置步骤:
- 在 CUCM 中,依次前往设备 > 电话。
- 搜索并选择每个 CTS 设备。
- 在产品特定配置布局部分中,配置外部 SYSLOG 地址字段。
- 保存并应用每台设备的配置。
- 重启每台设备以启用 syslog 转发。
验证是否收到了 syslog 消息
检查 Bindplane 代理日志,验证是否收到了 syslog 消息:
Linux:
sudo journalctl -u observiq-otel-collector -f | grep -i ciscoWindows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr /i cisco
登录 Google SecOps 控制台。
前往搜索,然后运行搜索查询以查找最近的 CTS 日志:
metadata.log_type = "CISCO_CTS"验证搜索结果中是否显示了带有最新时间戳的日志。
Syslog 消息格式
Cisco TelePresence System 以 RFC 3164 (BSD syslog) 格式发送 syslog 消息。消息包括:
- 有关通话活动、视频/音频事件和系统操作的系统操作员 (sysop) 日志消息
- 设施代码:因消息类型而异
- 默认端口:UDP 514
- 消息存储:CTS 设备上最多 20 个轮换日志文件
排查 syslog 转发问题
如果未收到 syslog 消息,请执行以下操作:
验证从 CTS 解码器到 Bindplane 代理的网络连接:
ping <BINDPLANE_AGENT_IP>验证防火墙规则是否允许从 CTS IP 地址到 Bindplane 代理的端口 514(或配置的端口)上的 UDP 流量。
检查 CUCM 产品特定配置布局中的外部 SYSLOG 地址是否已正确配置。
验证在应用 syslog 配置后,CTS 设备是否已重新启动。
在 Troubleshooting > Log Files 中检查 CTS 管理界面日志中是否存在任何与 syslog 相关的错误。
验证 Bindplane 代理是否正在侦听正确的端口:
Linux:
sudo netstat -ulnp | grep 514Windows:
netstat -an | findstr :514
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AuditDetails,data2 | security_result.description | 如果 AuditDetails 中的值不为空,则返回该值;否则返回 data2 |
| ClientAddress、LoginFrom | principal.ip | 如果 ClientAddress 中的值不为空且不是 IP 地址,则为 ClientAddress 中的值,否则为 LoginFrom 中的值 |
| EventType | metadata.product_event_type | 直接复制值 |
| logType | metadata.description | 直接复制值 |
| 和程度上减少 | security_result.severity | 如果严重程度为 [6,7],则设置为 INFORMATIONAL;如果为 5,则设置为 LOW;如果为 4,则设置为 MEDIUM;如果为 3,则设置为 ERROR;如果为 2,则设置为 HIGH;否则设置为 CRITICAL |
| logType、EventStatus | security_result.action | 如果 logType == AuthenticationSucceeded 或 EventStatus == Success,则设置为 ALLOW |
| EventType、logType | metadata.event_type | 如果 EventType 为 UserAccess,则设置为 USER_RESOURCE_ACCESS;如果 EventType 为 UserLogging 或 logType 与 LOGIN 匹配,则设置为 USER_LOGIN;如果 EventType 为 [UserRoleMembershipUpdate, GeneralConfigurationUpdate],则设置为 USER_RESOURCE_UPDATE_CONTENT;否则设置为 GENERIC_EVENT |
| AppID | principal.application | 直接复制值 |
| NodeID | target.hostname | 直接复制值 |
| process_id | principal.process.pid | 直接复制值 |
| ResourceAccessed | target.resource.name | 直接复制值 |
| UserID | principal.user.userid | 直接复制值 |
| metadata.product_name | 设置为“CISCO_CTS” | |
| metadata.vendor_name | 设置为“CISCO” |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。