Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Commvault

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Commvault in Google Security Operations utilizzando l'agente Bindplane.

Commvault genera messaggi syslog per operazioni di backup, avvisi, eventi e attività di sistema. Il parser estrae i campi dai messaggi di log e li mappa a Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il sistema Commvault
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla console di gestione Commvault

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/commvault:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: COMMVAULT
        raw_log_field: body

service:
    pipelines:
        logs/commvault_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/commvault

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog in Commvault Cloud

Accedi alla console di gestione Commvault.
Vai a Gestisci > Sistema.
Fai clic sul riquadro del connettore SIEM.
Fai clic su Aggiungi connettore.
Nella scheda Generali, inserisci i seguenti dettagli:
- Nome connettore: inserisci un nome per il connettore.
- Tipo di connettore: seleziona Syslog.
- Dati di streaming: seleziona i dati che vuoi esportare.
Fai clic su Avanti.
Nella scheda Definizione connettore, fai clic su Aggiungi server syslog.
Fornisci i seguenti dettagli di configurazione:
- Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Numero di porta: inserisci il numero di porta dell'agente Bindplane.
Fai clic su Invia.

Nota: le porte personalizzate non sono consentite nella GUI a causa di restrizioni di sicurezza. Sebbene l'interfaccia consenta di inserire qualsiasi porta, sono consentite solo le porte predefinite: UDP Port: 514 e TCP Port: 6514.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
AgentType	event.idm.read_only_udm.observer.application	Valore tratto dal campo `AgentType` nel messaggio di log.
Alertid	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `Alertid` nel messaggio di log. Questo campo è mappato nella chiave `alert_id`.
Alertname	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `Alertname` nel messaggio di log. Questo campo è mappato nella chiave `alert_name`.
Alertseverity	event.idm.read_only_udm.security_result.severity	Questo campo viene utilizzato per compilare il campo `security_result.severity` in base al suo valore.
Alerttime	event.idm.read_only_udm.metadata.event_timestamp	Valore estratto dal campo `Alerttime` nel messaggio di log e convertito in un timestamp.
BackupLevel	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `BackupLevel` nel messaggio di log. Questo campo è mappato nella chiave `backup_level`.
BackupSet	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `BackupSet` nel messaggio di log. Questo campo è mappato nella chiave `backup_set`.
Client	event.idm.read_only_udm.principal.hostname	Valore tratto dal campo `Client` nel messaggio di log.
CommCell	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `CommCell` nel messaggio di log. Questo campo è mappato nella chiave `comcell_field`.
Computer	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `Computer` nel messaggio di log. Questo campo è mappato nella chiave `computer_field`.
Descrizione	event.idm.read_only_udm.metadata.description	Valore estratto dal campo `Description` nel messaggio di log dopo l'elaborazione e la pulizia.
DetectedCriteria	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `DetectedCriteria` nel messaggio di log. Questo campo è mappato nella chiave `detected_criteria`.
DetectedTime	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `DetectedTime` nel messaggio di log. Questo campo è mappato nella chiave `detected_time`.
Dettagli	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `Details` nel messaggio di log. Questo campo è mappato nella chiave `details_field`.
Eventid	event.idm.read_only_udm.metadata.product_log_id	Valore tratto dal campo `Eventid` nel messaggio di log.
Eventseverity	event.idm.read_only_udm.security_result.severity	Questo campo viene utilizzato per compilare il campo `security_result.severity` in base al suo valore.
Operazione non riuscita	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `Failure` nel messaggio di log. Questo campo è mappato nella chiave `failure_filed`.
Istanza	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `Instance` nel messaggio di log. Questo campo è mappato nella chiave `instance_field`.
Jobid	event.idm.read_only_udm.principal.process.pid	Valore tratto dal campo `Jobid` nel messaggio di log.
MonitoringCriteria	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `MonitoringCriteria` nel messaggio di log. Questo campo è mappato nella chiave `monitoring_criteria`.
Occurencetime	event.idm.read_only_udm.metadata.event_timestamp	Valore estratto dal campo `Occurencetime` nel messaggio di log e convertito in un timestamp.
Opid	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `Opid` nel messaggio di log. Questo campo è mappato nella chiave `op_id`.
Programma	event.idm.read_only_udm.principal.application	Valore tratto dal campo `Program` nel messaggio di log.
Severitylevel	event.idm.read_only_udm.security_result.severity	Valore estratto dal campo `Severitylevel` nel messaggio di log e mappato in base a una mappatura predefinita.
StoragePoliciesUsed	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `StoragePoliciesUsed` nel messaggio di log. Questo campo è mappato nella chiave `storage_policies_used`.
Subcliente	event.idm.read_only_udm.additional.fields.value.string_value	Valore tratto dal campo `Subclient` nel messaggio di log. Questo campo è mappato nella chiave `subclient_field`.
Tipo	event.idm.read_only_udm.security_result.detection_fields.value	Valore tratto dal campo `Type` nel messaggio di log. Questo campo è mappato nella chiave `alert_type`.
Nome utente	event.idm.read_only_udm.principal.user.userid	Valore tratto dal campo `Username` nel messaggio di log.
anomaly_type	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `detected_anomaly_type`.
errori	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `errors_field`.
file_name	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `detected_malicious_file`.
media_agent	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `detected_media_agent`.
no_of_files_created	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `no_of_files_created_field`.
no_of_files_deleted	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `no_of_files_deleted_field`.
no_of_files_modified	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `no_of_files_modified_field`.
no_of_files_renamed	event.idm.read_only_udm.security_result.detection_fields.value	Valore estratto dal campo `Description` utilizzando i pattern grok. Questo campo è mappato nella chiave `no_of_files_renamed_field`.
URL	event.idm.read_only_udm.network.http.referral_url	Valore estratto dal campo `Description` utilizzando i pattern grok.
	event.idm.read_only_udm.metadata.event_type	Questo campo è impostato su `STATUS_UPDATE` se è presente il campo `Client`, altrimenti è impostato su `GENERIC_EVENT`.
	event.idm.read_only_udm.metadata.product_name	Questo campo è impostato su `COMMVAULT`.
	event.idm.read_only_udm.metadata.vendor_name	Questo campo è impostato su `COMMVAULT`.
	event.idm.read_only_udm.principal.user.user_role	Questo campo è impostato su `ADMINISTRATOR` se il campo `User` è `Administrator`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.