收集 Cisco IOS 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Cisco IOS 日志注入到 Google Security Operations。
Cisco IOS 设备会针对系统事件、接口状态更改、ACL 匹配、身份验证和路由事件生成 syslog 消息。解析器使用 Grok 模式提取字段,并将其映射到统一数据模型 (UDM)。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Cisco IOS 设备之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 使用 SSH 或控制台对 Cisco IOS 设备进行特权访问
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ios: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: CISCO_IOS raw_log_field: body service: pipelines: logs/cisco_ios_to_chronicle: receivers: - udplog exporters: - chronicle/cisco_ios
配置参数
替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0侦听所有接口(推荐)- 端口
514是标准 syslog 端口(在 Linux 上需要 root 权限;对于非 root 用户,请使用1514)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:从 Google SecOps 控制台复制的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
```bash sudo systemctl status observiq-otel-collector ```检查日志是否存在错误:
```bash sudo journalctl -u observiq-otel-collector -f ```
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
在 Cisco IOS 设备上配置 syslog
- 使用 SSH 或控制台连接登录到 Cisco IOS 设备。
进入特权模式:
enable进入配置模式:
conf t配置 syslog:
logging <BINDPLANE_IP> logging source-interface <INTERFACE>- 将
<BINDPLANE_IP>替换为实际的 Bindplane 代理 IP 地址。 - 将
<INTERFACE>替换为实际的通信接口。
- 将
配置优先级:
logging trap information logging console information配置 syslog 功能:
logging facility syslog保存配置:
copy running-config startup-config
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AcsSessionID | network.session_id | 从 AcsSessionID 字段中获取的值。 |
| AcctRequest-Flags | security_result.summary | 从 AcctRequest-Flags 字段获取的值。 |
| AcctRequest-Flags | security_result.action | 如果 AcctRequest-Flags 包含 Start,则设置为 ALLOW。如果 AcctRequest-Flags 包含 Stop,则设置为 BLOCK。 |
| AuthenticationIdentityStore | additional.fields.key = AuthenticationIdentityStore, value = AuthenticationIdentityStore |
从 AuthenticationIdentityStore 字段中获取的值。 |
| AuthenticationMethod | additional.fields.key = AuthenticationMethod, value = AuthenticationMethod |
从 AuthenticationMethod 字段中获取的值。 |
| AuthenticationStatus | security_result.summary | 从 AuthenticationStatus 字段中获取的值。 |
| Authen-Method | security_result.detection_fields.key = Authen-Method, value = Authen-Method |
从 Authen-Method 字段中获取的值。 |
| Authen-Method | extensions.auth.type | 如果 Authen-Method 包含 TacacsPlus,则设置为 TACACS。 |
| AVPair_priv-lvl | security_result.detection_fields.key = AVPair_priv-lvl, value = AVPair_priv-lvl |
从 AVPair_priv-lvl 字段获取的值。 |
| AVPair_start_time | additional.fields.key = AVPair_start_time, value = AVPair_start_time |
从 AVPair_start_time 字段中获取的值。 |
| AVPair_task_id | additional.fields.key = AVPair_task_id, value = AVPair_task_id |
从 AVPair_task_id 字段获取的值。 |
| AVPair_timezone | additional.fields.key = AVPair_timezone, value = AVPair_timezone |
从 AVPair_timezone 字段中获取的值。 |
| auditid | metadata.product_log_id | 从 auditid 字段中获取的值。 |
| cisco_facility | 未映射到 IDM 对象。 | |
| cisco_message | metadata.description | 从 cisco_message 字段获取的值。 |
| cisco_mnemonic | security_result.rule_name | 从 cisco_mnemonic 字段中获取的值。 |
| cisco_severity | security_result.severity | 根据值映射到不同的严重程度级别:0:ALERT,1:CRITICAL,2:HIGH,3:ERROR,4:MEDIUM,5:LOW,6:INFORMATIONAL,7:INFORMATIONAL。 |
| cisco_severity | security_result.severity_details | 根据值映射到不同的严重程度详细信息:0:System unusable,1:Immediate action needed,2:Critical condition,3:Error condition,4:Warning condition,5:Normal but significant condition,6:Informational message only,7:Appears during debugging only。 |
| cisco_tag | metadata.product_event_type | 从 cisco_tag 字段获取的值。 |
| cisco_tag | metadata.event_type | 根据值映射到不同的事件类型:SYS-6-LOGGINGHOST_STARTSTOP、TRACK-6-STATE、SYS-3-LOGGINGHOST_FAIL、CRYPTO-4-IKMP_NO_SA、HA_EM-3-FMPD_ACTION_NOTRACK、HA_EM-3-FMPD_ERROR:GENERIC_EVENT;IPSEC-3-REPLAY_ERROR、CRYPTO-4-RECVD_PKT_INV_SPI、IPSEC-3-HMAC_ERROR、FW-6-DROP_PKT、SEC-6-IPACCESSLOGP:NETWORK_UNCATEGORIZED;CRYPTO-4-IKMP_BAD_MESSAGE、CRYPTO-6-IKMP_NOT_ENCRYPTED、CRYPTO-6-IKMP_MODE_FAILURE:STATUS_UNCATEGORIZED;SYS-5-CONFIG_I:USER_UNCATEGORIZED。 |
| ClientLatency | additional.fields.key = ClientLatency, value = ClientLatency |
从 ClientLatency 字段中获取的值。 |
| CmdSet | additional.fields.key = CmdSet, value = CmdSet |
从 CmdSet 字段中获取的值。 |
| 命令 | principal.process.command_line | 从命令字段中获取的值。 |
| CPMSessionID | additional.fields.key = CPMSessionID, value = CPMSessionID |
从 CPMSessionID 字段获取的值。 |
| 说明 | metadata.description | 从说明字段中获取的值。 |
| DestinationIPAddress | target.asset.ip | 从 DestinationIPAddress 字段中获取的值。 |
| DestinationIPAddress | target.ip | 从 DestinationIPAddress 字段中获取的值。 |
| DestinationPort | target.port | 从 DestinationPort 字段中获取的值。 |
| Device_IP_Address | principal.asset.ip | 从 Device_IP_Address 字段中获取的值。 |
| Device_IP_Address | principal.ip | 从 Device_IP_Address 字段中获取的值。 |
| Device_Type | additional.fields.key = Device_Type, value = Device_Type |
从 Device_Type 字段中获取的值。 |
| dst_ip | target.asset.ip | 从 dst_ip 字段中获取的值。 |
| dst_ip | target.ip | 从 dst_ip 字段中获取的值。 |
| dst_port | target.port | 取自 dst_port 字段的值。 |
| dst_user | target.user.userid | 从 dst_user 字段获取的值。 |
| EnableFlag | security_result.detection_fields.key = EnableFlag, value = EnableFlag |
从 EnableFlag 字段中获取的值。 |
| IdentityGroup | additional.fields.key = IdentityGroup, value = IdentityGroup |
从 IdentityGroup 字段中获取的值。 |
| IdentitySelectionMatchedRule | security_result.detection_fields.key = IdentitySelectionMatchedRule, value = IdentitySelectionMatchedRule |
从 IdentitySelectionMatchedRule 字段中获取的值。 |
| intermediary_host | intermediary.hostname | 从 intermediary_host 字段中获取的值。 |
| intermediary_ip | intermediary.ip | 从 intermediary_ip 字段中获取的值。 |
| IPSEC | additional.fields.key = IPSEC, value = IPSEC |
从 IPSEC 字段获取的值。 |
| ISEPolicySetName | extensions.auth.type | 如果 ISEPolicySetName 包含 Tacacs,则设置为 TACACS。 |
| IsMachineAuthentication | additional.fields.key = IsMachineAuthentication, value = IsMachineAuthentication |
从 IsMachineAuthentication 字段中获取的值。 |
| IsMachineIdentity | security_result.detection_fields.key = IsMachineIdentity, value = IsMachineIdentity |
从 IsMachineIdentity 字段中获取的值。 |
| 位置 | additional.fields.key = Location, value = Location |
从“位置”字段中获取的值。 |
| MatchedCommandSet | additional.fields.key = MatchedCommandSet, value = MatchedCommandSet |
从 MatchedCommandSet 字段中获取的值。 |
| 消息 | 未映射到 IDM 对象。 | |
| metadata_event_type | metadata.event_type | 从 metadata_event_type 字段获取的值。如果为空或为 GENERIC_EVENT,则在 principal_mid_present 和 target_mid_present 为 true 时设置为 NETWORK_UNCATEGORIZED,在 principal_userid_present 为 true 时设置为 USER_UNCATEGORIZED,在 principal_mid_present 为 true 时设置为 STATUS_UPDATE,否则设置为 GENERIC_EVENT。如果服务包含 Login,则在 principal_userid_present、principal_mid_present 和 target_mid_present 为 true 时设置为 USER_LOGIN,在 principal_userid_present 为 true 时设置为 USER_UNCATEGORIZED。 |
| Model_Name | additional.fields.key = Model_Name, value = Model_Name |
从 Model_Name 字段中获取的值。 |
| 名称 | additional.fields.key = Name, value = Name |
从“名称”字段中获取的值。 |
| Network_Device_Profile | additional.fields.key = Network_Device_Profile, value = Network_Device_Profile |
从 Network_Device_Profile 字段中获取的值。 |
| NetworkDeviceGroups | additional.fields.key = NetworkDeviceGroups, value = NetworkDeviceGroups |
从 NetworkDeviceGroups 字段中获取的值。 |
| NetworkDeviceName | principal.asset.hostname | 从 NetworkDeviceName 字段中获取的值。 |
| NetworkDeviceName | principal.hostname | 从 NetworkDeviceName 字段中获取的值。 |
| NetworkDeviceProfileId | principal.resource.product_object_id | 从 NetworkDeviceProfileId 字段中获取的值。 |
| pid | principal.process.pid | 从 PID 字段中获取的值。 |
| 端口 | principal.resource.attribute.labels.key = Port,value = Port |
从“端口”字段中获取的值。 |
| 权限级别 | security_result.detection_fields.key = Privilege-Level, value = Privilege-Level |
从“权限级别”字段中获取的值。 |
| product_event_type | metadata.product_event_type | 从 product_event_type 字段中获取的值。 |
| 协议 | additional.fields.key = Protocol, value = Protocol |
从“协议”字段中获取的值。 |
| 协议 | network.application_protocol | 如果协议为 HTTPS,则设置为 HTTPS。 |
| 协议 | network.ip_protocol | 如果协议为 TCP 或 UDP,则设置为协议的大写值。 |
| reason | security_result.summary | 从原因字段中获取的值。 |
| 区域 | principal.location.country_or_region | 从“区域”字段中获取的值。 |
| Remote-Address | target.asset.ip | 从“Remote-Address”字段中获取值,并验证该值是否为 IP 地址。 |
| Remote-Address | target.ip | 从“Remote-Address”字段中获取值,并验证该值是否为 IP 地址。 |
| RequestLatency | security_result.detection_fields.key = RequestLatency, value = RequestLatency |
从 RequestLatency 字段中获取的值。 |
| 响应 | additional.fields.key = Response, value = Response |
从响应字段中获取的值。 |
| SelectedAccessService | security_result.action_details | 从 SelectedAccessService 字段获取的值。 |
| SelectedAuthenticationIdentityStores | security_result.detection_fields.key = SelectedAuthenticationIdentityStores, value = SelectedAuthenticationIdentityStores |
从 SelectedAuthenticationIdentityStores 字段中获取的值。 |
| SelectedCommandSet | additional.fields.key = SelectedCommandSet, value = SelectedCommandSet |
从 SelectedCommandSet 字段中获取的值。 |
| 服务 | additional.fields.key = Service, value = Service |
从服务字段中获取的值。 |
| Service-Argument | additional.fields.key = Service-Argument, value = Service-Argument |
从 Service-Argument 字段获取的值。 |
| 和程度上减少 | security_result.severity | 如果严重程度包含 Notice,则设置为 INFORMATIONAL。 |
| Software_Version | additional.fields.key = Software_Version, value = Software_Version |
从 Software_Version 字段中获取的值。 |
| source_facility | principal.asset.hostname | 从 source_facility 字段中获取的值。 |
| source_facility | principal.hostname | 从 source_facility 字段中获取的值。 |
| src_ip | principal.asset.ip | 从 src_ip 字段获取的值。 |
| src_ip | principal.ip | 从 src_ip 字段获取的值。 |
| src_mac | principal.mac | 从 src_mac 字段中获取的值,其中 . 已替换为 :。 |
| src_port | principal.port | 从 src_port 字段获取的值。 |
| src_user_id | principal.user.userid | 从 src_user_id 字段获取的值。如果为空,则从“用户”字段中获取值。如果仍为空,则从 StepData_9 字段中获取值。 |
| src_user_name | principal.user.user_display_name | 从 src_user_name 字段获取的值。 |
| 步骤 | additional.fields.key = Step, value = Step |
从“步数”字段中获取的值。 |
| StepData_10 | principal.asset.hostname | 从 StepData_10 字段中获取的值。 |
| StepData_10 | principal.hostname | 从 StepData_10 字段中获取的值。 |
| StepData_13 | security_result.summary | 从 StepData_13 字段中获取的值。 |
| StepData_14 | security_result.detection_fields.key = StepData_14, value = StepData_14 |
从 StepData_14 字段中获取的值。 |
| StepData_15 | security_result.detection_fields.key = StepData_15, value = StepData_15 |
从 StepData_15 字段中获取的值。 |
| StepData_20 | security_result.detection_fields.key = StepData_20, value = StepData_20 |
从 StepData_20 字段中获取的值。 |
| StepData_21 | security_result.detection_fields.key = StepData_21, value = StepData_21 |
从 StepData_21 字段中获取的值。 |
| StepData_3 | additional.fields.key = StepData_3, value = StepData_3 |
从 StepData_3 字段中获取的值。 |
| StepData_4 | security_result.detection_fields.key = StepData_4, value = StepData_4 |
从 StepData_4 字段中获取的值。 |
| StepData_6 | security_result.detection_fields.key = StepData_6, value = StepData_6 |
从 StepData_6 字段中获取的值。 |
| StepData_7 | security_result.detection_fields.key = StepData_7, value = StepData_7 |
从 StepData_7 字段中获取的值。 |
| StepData_8 | security_result.detection_fields.key = StepData_8, value = StepData_8 |
从 StepData_8 字段中获取的值。 |
| StepData_9 | principal.user.userid | 如果 src_user_id 和 User 字段为空,则取自 StepData_9 字段的值。 |
| target_host | target.asset.hostname | 从 target_host 字段中获取的值。 |
| target_host | target.hostname | 从 target_host 字段中获取的值。 |
| 时间戳 | metadata.event_timestamp | 从时间戳字段中提取的值,在提取之前会移除多余的空格并解析日期。 |
| TotalAuthenLatency | additional.fields.key = TotalAuthenLatency, value = TotalAuthenLatency |
从 TotalAuthenLatency 字段中获取的值。 |
| ts | metadata.event_timestamp | 解析日期后从 ts 字段中获取的值。 |
| 类型 | security_result.category_details | 从“类型”字段中获取的值。 |
| 用户 | principal.user.userid | 如果 src_user_id 为空,则取自 User 字段的值。 |
| UserType | additional.fields.key = UserType, value = UserType |
从 UserType 字段中获取的值。 |
| metadata.vendor_name | 设置为 CISCO。 |
|
| metadata.product_name | 设置为 CISCO_IOS。 |
|
| metadata.log_type | 设置为 CISCO_IOS。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。