收集 Cisco Vision Dynamic Signage Director 日志

本文档介绍了如何使用 Bindplane 代理将 Cisco Vision Dynamic Signage Director 日志注入到 Google Security Operations。

Cisco Vision Dynamic Signage Director（以前称为 StadiumVision Director）是一个数字标牌和内容管理平台，专为体育场、竞技场和大型场馆而设计。它可集中控制多媒体内容并将其分发到数字显示屏，包括场地网络中的视频墙、记分牌和数字菜单板。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
• Bindplane 代理与 Cisco Vision Dynamic Signage Director 服务器之间的网络连接
• 如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
• 通过管理员角色对 Cisco Vision Dynamic Signage Director 网页界面进行特权访问
• Cisco Vision Dynamic Signage Director 版本 6.4 或更高版本（版本 6.4 中添加了 syslog 支持）

获取 Google SecOps 注入身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。

3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 配置文件。

3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

• Windows 安装

  1. 以管理员身份打开命令提示符或 PowerShell。

  2. 运行以下命令：

     msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
     

  3. 等待安装完成。

  4. 运行以下命令来验证安装：

     sc query observiq-otel-collector
     

  该服务应显示为 RUNNING。

• Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令：

     sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
     

  3. 等待安装完成。

  4. 运行以下命令来验证安装：

     sudo systemctl status observiq-otel-collector
     

     该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

修改配置文件

1. 将 config.yaml 的全部内容替换为以下配置：

   receivers:
       udplog:
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/cisco_vision:
           compression: gzip
           creds_file_path: '<PLACEHOLDER_CREDS_FILE_PATH>'
           customer_id: '<PLACEHOLDER_CUSTOMER_ID>'
           endpoint: <PLACEHOLDER_REGION_ENDPOINT>
           log_type: CISCO_STADIUMVISION
           raw_log_field: body
           ingestion_labels:
               source: cisco_vision_director
   
   service:
       pipelines:
           logs/cisco_vision_to_chronicle:
               receivers:
                   - udplog
               exporters:
                   - chronicle/cisco_vision
   

2. 替换以下占位符：

   • 接收器配置：

     • 接收器配置为在所有网络接口 (0.0.0.0:514) 上监听 UDP 端口 514
     • Cisco Vision Director 通过 UDP（RFC5426 传输）使用 RFC5424 格式发送 syslog 消息

   • 导出器配置：

     • <PLACEHOLDER_CREDS_FILE_PATH>：提取身份验证文件的完整路径：
       • Linux：/etc/bindplane-agent/ingestion-auth.json
       • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
     • <PLACEHOLDER_CUSTOMER_ID>：您的 customer ID。如需了解详情，请参阅获取 Google SecOps 客户 ID。
     • <PLACEHOLDER_REGION_ENDPOINT>：区域端点网址：
       • 美国：malachiteingestion-pa.googleapis.com
       • 欧洲：europe-malachiteingestion-pa.googleapis.com
       • 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
       • 如需查看完整列表，请参阅区域级端点

配置示例

• 示例

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/cisco_vision:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: CISCO_STADIUMVISION
          raw_log_field: body
          ingestion_labels:
              source: cisco_vision_director
              env: production
  
  service:
      pipelines:
          logs/cisco_vision_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/cisco_vision
  

保存配置文件

修改后，保存文件：

• Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
• Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请执行以下操作：

  1. 运行以下命令：

     sudo systemctl restart observiq-otel-collector
     

  2. 验证服务是否正在运行：

     sudo systemctl status observiq-otel-collector
     

  3. 检查日志是否存在错误：

     sudo journalctl -u observiq-otel-collector -f
     

• 如需在 Windows 中重启 Bindplane 代理，请执行以下操作：

  1. 请从下列选项中选择一项：

     • 以管理员身份运行命令提示符或 PowerShell：

       net stop observiq-otel-collector && net start observiq-otel-collector
       

     • 服务控制台：

       1. 按 Win+R，输入 services.msc，然后按 Enter 键。
       2. 找到 observIQ OpenTelemetry 收集器。
       3. 右键点击并选择重新启动。

  2. 验证服务是否正在运行：

     sc query observiq-otel-collector
     

  3. 检查日志是否存在错误：

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

配置 Cisco Vision Dynamic Signage Director syslog 转发

在 Cisco Vision Director 上启用 syslog

1. 使用管理员凭据登录 Cisco Vision Dynamic Signage Director 网页界面。
2. 依次前往配置 > 系统配置 > 动态标牌导播台设置 > Syslog 配置。
3. 从“配置属性”面板中选择 Enable Syslog。
4. 点击修改。系统随即会显示“修改配置设置”对话框。
5. 从下拉菜单中选择 true。

6. 点击保存。

配置 syslog 服务器 IP 地址和端口

1. 在同一 Syslog 配置部分中，选择 Syslog 服务器 IP 和端口。
2. 点击修改。系统随即会显示“修改配置”对话框。
3. 在值字段中，输入 Bindplane 代理主机（格式为 IP_ADDRESS:PORT）的 IP 地址和端口。
   • 例如：192.168.1.100:514
   • 将 192.168.1.100 替换为 Bindplane 代理主机实际的 IP 地址
   • 使用端口 514 以匹配 Bindplane 代理配置
4. 点击保存。

5. 验证 IP 地址和端口现在是否显示在 Syslog 服务器 IP 和端口字段中。

通过 Director 启用 DMP syslog 转发（可选）

如果您想通过 Cisco Vision Director 将数字媒体播放器 (DMP) 系统日志转发到外部 syslog 服务器，请执行以下操作：

1. 在 Syslog 配置部分中，选择通过 Director 启用 DMP Syslog。
2. 点击修改。系统随即会显示“修改配置设置”对话框。
3. 将值更改为 true。

4. 点击保存。

验证 syslog 配置

1. 保存配置后，验证日志是否正在发送到 Bindplane 代理。

2. 检查 Bindplane 代理日志中是否有传入的 syslog 消息：

   • Linux：

     sudo journalctl -u observiq-otel-collector -f
     

   • Windows：

     type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
     

3. 您应该会看到日志条目，表明已成功接收并转发 Cisco Vision Director syslog 消息。

其他配置资源

如需详细了解 Cisco Vision Dynamic Signage Director syslog 配置，请参阅以下 Cisco 文档：

• Cisco Vision Dynamic Signage Director 版本说明（版本 6.4）
• Cisco Vision Dynamic Signage Director 管理指南版本 6.4

UDM 映射表

日志字段	UDM 映射	逻辑
intem_host	intermediary.hostname	中间设备的 hostname
说明、数据	metadata.description	活动的补充说明
	metadata.event_type	日志条目所表示的事件类型
event_category	metadata.product_event_type	特定于产品的事件类型
	network.application_protocol	连接中使用的应用协议
方法	network.http.method	请求中使用的 HTTP 方法
Response	network.http.response_code	HTTP 响应代码
user_agent	network.http.user_agent	HTTP 请求中的用户代理字符串
ses	network.session_id	网络会话的标识符
应用	principal.application	与正文关联的应用
prin_ip	principal.ip	与正文相关联的 IP 地址
pid	principal.process.pid	主账号的进程 ID
acct	principal.user.userid	主账号的用户 ID
action_result	security_result.action	安防系统采取的操作
res、task	security_result.action_details	安全操作的详细信息
msg_data, desc	security_result.description	安全结果的说明
grantors、method_name、type、name、count、m1_rate、m5_rate、m15_rate、mean_rate、rate_unit、duration_unit	security_result.detection_fields	与检测相关的其他字段
和程度上减少	security_result.severity	安全结果的严重程度
op, act_detail	security_result.summary	安全性结果摘要
exe、ENV	target.file.full_path	目标文件的完整路径
COMMAND	target.process.command_line	目标进程的命令行
path, url	target.url	与目标关联的网址
用户	target.user.userid	目标的相应用户 ID

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。