收集 Cisco Vision Dynamic Signage Director 日志

支持的平台:

本文档介绍了如何使用 Bindplane 代理将 Cisco Vision Dynamic Signage Director 日志注入到 Google Security Operations。

Cisco Vision Dynamic Signage Director(以前称为 StadiumVision Director)是一个数字标牌和内容管理平台,专为体育场、竞技场和大型场馆而设计。它可集中控制多媒体内容并将其分发到数字显示屏,包括场地网络中的视频墙、记分牌和数字菜单板。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows Server 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • Bindplane 代理与 Cisco Vision Dynamic Signage Director 服务器之间的网络连接
  • 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
  • 通过管理员角色对 Cisco Vision Dynamic Signage Director 网页界面进行特权访问
  • Cisco Vision Dynamic Signage Director 版本 6.4 或更高版本(版本 6.4 中添加了 syslog 支持)

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

  • Windows 安装

    1. 以管理员身份打开命令提示符PowerShell
    2. 运行以下命令:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
      
    3. 等待安装完成。

    4. 运行以下命令来验证安装:

      sc query observiq-otel-collector
      

    该服务应显示为 RUNNING

  • Linux 安装

    1. 打开具有 root 或 sudo 权限的终端。
    2. 运行以下命令:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
      
    3. 等待安装完成。

    4. 运行以下命令来验证安装:

      sudo systemctl status observiq-otel-collector
      

      该服务应显示为有效(正在运行)

其他安装资源

如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml
    
  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
    

修改配置文件

  1. config.yaml 的全部内容替换为以下配置:

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/cisco_vision:
            compression: gzip
            creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
            customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
            endpoint: <PLACEHOLDER_REGION_ENDPOINT>
            log_type: CISCO_STADIUMVISION
            raw_log_field: body
            ingestion_labels:
                source: cisco_vision_director
    
    service:
        pipelines:
            logs/cisco_vision_to_chronicle:
                receivers:
                    - udplog
                exporters:
                    - chronicle/cisco_vision
    
  2. 替换以下占位符:

    • 接收器配置

      • 接收器配置为在所有网络接口 (0.0.0.0:514) 上监听 UDP 端口 514
      • Cisco Vision Director 通过 UDP(RFC5426 传输)使用 RFC5424 格式发送 syslog 消息
    • 导出器配置

      • <PLACEHOLDER_CREDS_FILE_PATH>:提取身份验证文件的完整路径:
        • Linux/etc/bindplane-agent/ingestion-auth.json
        • WindowsC:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • <PLACEHOLDER_CUSTOMER_ID>:您的 customer ID。如需了解详情,请参阅获取 Google SecOps 客户 ID
      • <PLACEHOLDER_REGION_ENDPOINT>:区域端点网址:
        • 美国malachiteingestion-pa.googleapis.com
        • 欧洲europe-malachiteingestion-pa.googleapis.com
        • 亚洲asia-southeast1-malachiteingestion-pa.googleapis.com
        • 如需查看完整列表,请参阅区域级端点

配置示例

  • 示例

    receivers:
        udplog:
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/cisco_vision:
            compression: gzip
            creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
            customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
            endpoint: malachiteingestion-pa.googleapis.com
            log_type: CISCO_STADIUMVISION
            raw_log_field: body
            ingestion_labels:
                source: cisco_vision_director
                env: production
    
    service:
        pipelines:
            logs/cisco_vision_to_chronicle:
                receivers:
                    - udplog
                exporters:
                    - chronicle/cisco_vision
    

保存配置文件

修改后,保存文件:

  • Linux:依次按 Ctrl+OEnterCtrl+X
  • Windows:依次点击文件 > 保存

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请执行以下操作:

    1. 运行以下命令:

      sudo systemctl restart observiq-otel-collector
      
    2. 验证服务是否正在运行:

      sudo systemctl status observiq-otel-collector
      
    3. 检查日志是否存在错误:

      sudo journalctl -u observiq-otel-collector -f
      
  • 如需在 Windows 中重启 Bindplane 代理,请执行以下操作:

    1. 请从下列选项中选择一项:

      • 以管理员身份运行命令提示符或 PowerShell:

        net stop observiq-otel-collector && net start observiq-otel-collector
        
      • 服务控制台:

        1. Win+R,输入 services.msc,然后按 Enter 键。
        2. 找到 observIQ OpenTelemetry 收集器
        3. 右键点击并选择重新启动
    2. 验证服务是否正在运行:

      sc query observiq-otel-collector
      
    3. 检查日志是否存在错误:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
      

配置 Cisco Vision Dynamic Signage Director syslog 转发

在 Cisco Vision Director 上启用 syslog

  1. 使用管理员凭据登录 Cisco Vision Dynamic Signage Director 网页界面。
  2. 依次前往配置 > 系统配置 > 动态标牌导播台设置 > Syslog 配置
  3. 从“配置属性”面板中选择 Enable Syslog
  4. 点击修改。系统随即会显示“修改配置设置”对话框。
  5. 从下拉菜单中选择 true
  6. 点击保存

配置 syslog 服务器 IP 地址和端口

  1. 在同一 Syslog 配置部分中,选择 Syslog 服务器 IP 和端口
  2. 点击修改。系统随即会显示“修改配置”对话框。
  3. 字段中,输入 Bindplane 代理主机(格式为 IP_ADDRESS:PORT)的 IP 地址和端口。
    • 例如:192.168.1.100:514
    • 192.168.1.100 替换为 Bindplane 代理主机实际的 IP 地址
    • 使用端口 514 以匹配 Bindplane 代理配置
  4. 点击保存
  5. 验证 IP 地址和端口现在是否显示在 Syslog 服务器 IP 和端口字段中。

通过 Director 启用 DMP syslog 转发(可选)

如果您想通过 Cisco Vision Director 将数字媒体播放器 (DMP) 系统日志转发到外部 syslog 服务器,请执行以下操作:

  1. Syslog 配置部分中,选择通过 Director 启用 DMP Syslog
  2. 点击修改。系统随即会显示“修改配置设置”对话框。
  3. 更改为 true
  4. 点击保存

验证 syslog 配置

  1. 保存配置后,验证日志是否正在发送到 Bindplane 代理。
  2. 检查 Bindplane 代理日志中是否有传入的 syslog 消息:

    • Linux:

      sudo journalctl -u observiq-otel-collector -f
      
    • Windows:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
      
  3. 您应该会看到日志条目,表明已成功接收并转发 Cisco Vision Director syslog 消息。

其他配置资源

如需详细了解 Cisco Vision Dynamic Signage Director syslog 配置,请参阅以下 Cisco 文档:

UDM 映射表

日志字段 UDM 映射 逻辑
intem_host intermediary.hostname 中间设备的 hostname
说明、数据 metadata.description 活动的补充说明
metadata.event_type 日志条目所表示的事件类型
event_category metadata.product_event_type 特定于产品的事件类型
network.application_protocol 连接中使用的应用协议
方法 network.http.method 请求中使用的 HTTP 方法
Response network.http.response_code HTTP 响应代码
user_agent network.http.user_agent HTTP 请求中的用户代理字符串
ses network.session_id 网络会话的标识符
应用 principal.application 与正文关联的应用
prin_ip principal.ip 与正文相关联的 IP 地址
pid principal.process.pid 主账号的进程 ID
acct principal.user.userid 主账号的用户 ID
action_result security_result.action 安防系统采取的操作
res、task security_result.action_details 安全操作的详细信息
msg_data, desc security_result.description 安全结果的说明
grantors、method_name、type、name、count、m1_rate、m5_rate、m15_rate、mean_rate、rate_unit、duration_unit security_result.detection_fields 与检测相关的其他字段
和程度上减少 security_result.severity 安全结果的严重程度
op, act_detail security_result.summary 安全性结果摘要
exe、ENV target.file.full_path 目标文件的完整路径
COMMAND target.process.command_line 目标进程的命令行
path, url target.url 与目标关联的网址
用户 target.user.userid 目标的相应用户 ID

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。