Cisco Vision Dynamic Signage Director 로그 수집

다음에서 지원:

이 문서에서는 Bindplane 에이전트를 사용하여 Cisco Vision Dynamic Signage Director 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Cisco Vision Dynamic Signage Director (이전 명칭: StadiumVision Director)는 스타디움, 경기장, 대형 공연장을 위해 설계된 디지털 사이니지 및 콘텐츠 관리 플랫폼입니다. 이를 통해 회장 네트워크 전반의 비디오 월, 전광판, 디지털 메뉴판 등 디지털 디스플레이에 멀티미디어 콘텐츠를 중앙에서 제어하고 배포할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
  • Bindplane 에이전트와 Cisco Vision Dynamic Signage Director 서버 간의 네트워크 연결
  • 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
  • 관리자 역할이 있는 Cisco Vision Dynamic Signage Director 웹 인터페이스에 대한 권한 액세스
  • Cisco Vision Dynamic Signage Director 버전 6.4 이상 (syslog 지원은 버전 6.4에서 추가됨)

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.

  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.

  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

  • Windows 설치

    1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

    2. 다음 명령어를 실행합니다.

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. 설치가 완료될 때까지 기다립니다.

    4. 다음을 실행하여 설치를 확인합니다.

      sc query observiq-otel-collector

    서비스가 실행 중으로 표시되어야 합니다.

  • Linux 설치

    1. 루트 또는 sudo 권한으로 터미널을 엽니다.

    2. 다음 명령어를 실행합니다.

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. 설치가 완료될 때까지 기다립니다.

    4. 다음을 실행하여 설치를 확인합니다.

      sudo systemctl status observiq-otel-collector

      서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

  1. config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
        customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
        endpoint: <PLACEHOLDER_REGION_ENDPOINT>
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

  2. 다음 자리표시자를 바꿉니다.

    • 수신기 구성:

      • 수신기는 모든 네트워크 인터페이스 (0.0.0.0:514)에서 UDP 포트 514를 수신하도록 구성됩니다.
      • Cisco Vision Director는 UDP (RFC5426 전송)를 통해 RFC5424 형식을 사용하여 syslog 메시지를 전송합니다.

    • 내보내기 도구 구성:

      • <PLACEHOLDER_CREDS_FILE_PATH>: 수집 인증 파일의 전체 경로입니다.
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • <PLACEHOLDER_CUSTOMER_ID>: customer ID 자세한 내용은 Google SecOps 고객 ID 가져오기를 참고하세요.
      • <PLACEHOLDER_REGION_ENDPOINT>: 리전 엔드포인트 URL:
        • 미국: malachiteingestion-pa.googleapis.com
        • 유럽: europe-malachiteingestion-pa.googleapis.com
        • 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 전체 목록은 리전 엔드포인트를 참고하세요.

구성 예시

  • receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_vision:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_STADIUMVISION
        raw_log_field: body
        ingestion_labels:
            source: cisco_vision_director
            env: production

service:
    pipelines:
        logs/cisco_vision_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_vision

구성 파일 저장

수정 후 파일을 저장합니다.

  • Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
  • Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.

    1. 다음 명령어를 실행합니다.

      sudo systemctl restart observiq-otel-collector

    2. 서비스가 실행 중인지 확인합니다.

      sudo systemctl status observiq-otel-collector

    3. 로그에서 오류를 확인합니다.

      sudo journalctl -u observiq-otel-collector -f

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.

    1. 다음 옵션 중 하나를 선택합니다.

      • 명령 프롬프트 또는 PowerShell(관리자 권한)

        net stop observiq-otel-collector && net start observiq-otel-collector

      • 서비스 콘솔:

        1. Win+R 키를 누르고 services.msc을 입력한 다음 Enter 키를 누릅니다.
        2. observIQ OpenTelemetry Collector를 찾습니다.
        3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.

    2. 서비스가 실행 중인지 확인합니다.

      sc query observiq-otel-collector

    3. 로그에서 오류를 확인합니다.

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Cisco Vision Dynamic Signage Director syslog 전달 구성

Cisco Vision Director에서 syslog 사용 설정

  1. 관리자 사용자 인증 정보로 Cisco Vision Dynamic Signage Director 웹 인터페이스에 로그인합니다.
  2. 구성 > 시스템 구성 > 동적 사이니지 디렉터 설정 > Syslog 구성으로 이동합니다.
  3. 구성 속성 패널에서 Syslog 사용 설정을 선택합니다.
  4. 수정을 클릭합니다. 구성 설정 수정 대화상자가 표시됩니다.
  5. 드롭다운 메뉴에서 true를 선택합니다.

  6. 저장을 클릭합니다.

syslog 서버 IP 주소 및 포트 구성

  1. 동일한 Syslog 구성 섹션에서 Syslog 서버 IP 및 포트를 선택합니다.
  2. 수정을 클릭합니다. 구성 수정 대화상자가 표시됩니다.
  3. 필드에 Bindplane 에이전트 호스트의 IP 주소와 포트를 IP_ADDRESS:PORT 형식으로 입력합니다.
    • 예: 192.168.1.100:514
    • 192.168.1.100를 Bindplane 에이전트 호스트의 실제 IP 주소로 바꿉니다.
    • Bindplane 에이전트 구성과 일치하도록 포트 514 사용
  4. 저장을 클릭합니다.

  5. 이제 IP 주소와 포트가 Syslog Server IP & Port 필드에 표시되는지 확인합니다.

디렉터를 통해 DMP syslog 전달 사용 설정 (선택사항)

Cisco Vision Director를 통해 디지털 미디어 플레이어 (DMP) 시스템 로그를 외부 시스템 로그 서버로 전달하려면 다음 단계를 따르세요.

  1. Syslog Configuration(Syslog 구성) 섹션에서 Enable DMP Syslog through Director(디렉터를 통해 DMP Syslog 사용 설정)를 선택합니다.
  2. 수정을 클릭합니다. 구성 설정 수정 대화상자가 표시됩니다.
  3. true로 변경합니다.

  4. 저장을 클릭합니다.

syslog 구성 확인

  1. 구성을 저장한 후 로그가 Bindplane 에이전트로 전송되는지 확인합니다.

  2. Bindplane 에이전트 로그에서 수신되는 syslog 메시지를 확인합니다.

    • Linux:

      sudo journalctl -u observiq-otel-collector -f

    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  3. Cisco Vision Director syslog 메시지의 수신 및 전달이 성공했음을 나타내는 로그 항목이 표시됩니다.

추가 구성 리소스

Cisco Vision Dynamic Signage Director 시스템 로그 구성에 대한 자세한 내용은 다음 Cisco 문서를 참고하세요.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
intem_host intermediary.hostname 중개 기기의 호스트 이름
desc, data metadata.description 이벤트에 대한 추가 설명
metadata.event_type 로그 항목으로 표시되는 이벤트 유형
event_category metadata.product_event_type 제품별 이벤트 유형
network.application_protocol 연결에 사용된 애플리케이션 프로토콜
메서드 network.http.method 요청에 사용된 HTTP 메서드
응답 network.http.response_code HTTP 응답 코드
user_agent network.http.user_agent HTTP 요청의 사용자 에이전트 문자열
ses network.session_id 네트워크 세션의 식별자
애플리케이션 principal.application 주 구성원과 연결된 애플리케이션
prin_ip principal.ip 주 구성원과 연결된 IP 주소
pid principal.process.pid 주체의 프로세스 ID
acct principal.user.userid 주 구성원의 사용자 ID
action_result security_result.action 보안 시스템에서 취한 조치
res, task security_result.action_details 보안 작업의 세부정보
msg_data, desc security_result.description 보안 결과 설명
grantors, method_name, type, name, count, m1_rate, m5_rate, m15_rate, mean_rate, rate_unit, duration_unit security_result.detection_fields 감지와 관련된 추가 필드
줄이는 것을 security_result.severity 보안 결과의 심각도 수준
op, act_detail security_result.summary 보안 결과 요약
exe, ENV target.file.full_path 타겟 파일의 전체 경로
COMMAND target.process.command_line 타겟 프로세스의 명령줄
path, url target.url 타겟과 연결된 URL
사용자 target.user.userid 타겟의 사용자 ID

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.