Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Cloudian HyperStore

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Cloudian HyperStore in Google Security Operations utilizzando l'agente Bindplane.

Il parser estrae i campi dai messaggi syslog di Cloudian HyperStore utilizzando i pattern grok, inclusi timestamp, indirizzi IP, nomi utente e descrizioni. Mappa i campi estratti al modello Unified Data Model (UDM) e imposta il tipo di evento appropriato in base all'attività identificata.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il sistema Cloudian HyperStore
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi a Cloudian HyperStore

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cloudian_hyperstore:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CLOUDIAN_HYPERSTORE
        raw_log_field: body

service:
    pipelines:
        logs/cloudian_hyperstore_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cloudian_hyperstore

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura Syslog di Cloudian HyperStore

Accedi al nodo HyperStore Config Controller utilizzando la CLI.

Esegui questi comandi hsctl:

hsctl config set logging.syslog.remote.enabled=true
hsctl config set logging.syslog.remote.host=<BINDPLANE_IP>
hsctl config set logging.syslog.remote.protocol=<UDP_OR_TCP>
hsctl config set logging.syslog.remote.port=<BINDPLANE_PORT>
hsctl config apply ALL
hsctl service restart s3 iam hyperstore firewall --nodes=ALL
hsctl config set monitoring.agent.logging.level=INFO
hsctl config apply monitoring

Sostituisci <BINDPLANE_IP> con l'indirizzo IP dell'agente Bindplane.
Sostituisci <UDP_OR_TCP> con il protocollo configurato nell'agente Bindplane.
Sostituisci <BINDPLANE_PORT> con il numero di porta dell'agente Bindplane.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`description`	`metadata.description`	Mappato direttamente
`datetime`	`metadata.event_timestamp`	Analizzato come `RFC3339`
`method`	`network.http.method`	Rinominate/mappate
`url`	`network.http.referral_url`	Mappato direttamente
`status_code`	`network.http.response_code`	Rinominate/mappate
`session_id`	`network.session_id`	Mappato direttamente
`application`	`principal.application`	Mappato direttamente
`hostname`	`principal.hostname`	Mappato direttamente
`source_ip`	`principal.ip`	Unita
`request_id`	`principal.process.pid`	Mappato direttamente
`target_ip`	`target.ip`	Unita
`port`	`target.port`	Rinominate/mappate
`file_path`	`target.process.file.full_path`	Mappato direttamente
`user`	`target.user.user_display_name`	Mappato direttamente
N/D	`extensions.auth.type`	Costante: `AUTHTYPE_UNSPECIFIED`
N/D	`metadata.event_type`	Costante: `NETWORK_CONNECTION`
N/D	`metadata.product_name`	Costante: `Cloudian Hyperstore`
N/D	`metadata.vendor_name`	Costante: `Cloudian`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.