Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log degli switch Extreme Networks

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log degli switch Extreme Networks in Google Security Operations utilizzando l'agente Bindplane.

Gli switch Extreme Networks generano messaggi syslog per modifiche dello stato della porta, eventi SLPP, autenticazione utente, operazioni VLAN ed eventi di sistema. Il parser estrae i campi da syslog formattati RFC-5424 e li mappa a Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e lo switch Extreme Networks
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla CLI dello switch Extreme Networks

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog sullo switch Extreme Networks

Accedi allo switch utilizzando la CLI o la console.
Inserisci il comando configure per accedere al livello di configurazione globale:
```
device# configure terminal
```
Inserisci il comando dell'indirizzo IP syslog-server per aggiungere un server syslog:
- Sostituisci <bindplane_ip> con l'indirizzo IP effettivo dell'agente Bindplane.
```
logging syslog-server <bindplane_ip>
```
Inserisci il comando di formattazione per configurare il formato RFC-5424 per i messaggi:
```
format RFC-5424
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`account_type`	`target.user.user_role`	Se `account_type` è "Administrative" o "admin", impostalo su "ADMINISTRATOR". In caso contrario, mappa a `target.user.attribute.roles.name`.
`application`	`target.application`	Mappato direttamente.
`attr`	`additional.fields`	Analizzato per estrarre il WWN e creare una coppia chiave-valore con la chiave "wwn" e il WWN estratto come valore stringa.
`class`	`additional.fields`	Crea una coppia chiave-valore con la chiave "class" e il valore del campo `class` come valore stringa.
`Cause`	`additional.fields`	Crea una coppia chiave-valore con la chiave "Cause" e il valore del campo `Cause` come valore stringa. Oggetto vuoto creato se non sono presenti campi di autenticazione specifici.
`Info`	`security_result.summary`	Mappato direttamente.
`interface`	`additional.fields`	Crea una coppia chiave-valore con la chiave "interface" e il valore del campo `interface` come valore stringa.
`ip`	`principal.ip`	Mappato direttamente.
`intermediary_ip`	`intermediary.ip`	Mappato direttamente.
`kv_data`	Varie	Utilizzato per estrarre coppie chiave-valore e mapparle a diversi campi UDM in base alla chiave. Ad esempio, `VrIpAddr` è mappato a `intermediary.ip`, `IP` e `Addr` sono mappati a `principal.ip`, `SlppRxPort` è mappato a `principal.port` e vari campi `rc*` sono mappati a `security_result.detection_fields`.
`log_data`	Varie	Analizzati per estrarre informazioni su accessi, uscite e altri eventi degli utenti. Utilizzato per compilare campi come `principal.ip`, `principal.resource.name`, `target.user.userid`, `target.application`, `security_result.summary`, `security_result.description` e `metadata.description`.
`log_type`	`additional.fields`	Crea una coppia chiave-valore con la chiave "log" e il valore del campo `log_type` come valore stringa.
`message`	Varie	Il messaggio di log originale. Analizzato per estrarre vari campi. Il timestamp viene estratto dal campo `timestamp` (se presente e nel formato "aaaa-mm-ggTHH:mm:ss") o dal campo `message` utilizzando i pattern grok. Se estratto dal campo del messaggio, è il timestamp all'interno del messaggio di log stesso. Determinato in base alla presenza dei flag `has_principal`, `has_target`, `user_login` e `user_logout`. Può essere "USER_LOGIN", "USER_LOGOUT", "STATUS_UPDATE" o "GENERIC_EVENT". Mappato dal campo `msgid`. Valore statico: "EXTREME_SWITCH". Mappato dal campo `ver`. Valore statico: "EXTREME_SWITCH".
`msgid`	`metadata.product_log_id`	Mappato direttamente.
`port`	`principal.port`	Mappato e convertito direttamente in un numero intero.
`protocol`	`additional.fields`	Crea una coppia chiave-valore con la chiave "Protocol" e il valore del campo `protocol` come valore stringa.
`rcPortVLacpAdminEnable`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcPortVLacpAdminEnable" e il relativo valore.
`rcSyslogHostAddress`	`principal.hostname`	Mappato direttamente.
`rcSyslogHostAddressType`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostAddressType" e il relativo valore.
`rcSyslogHostEnable`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostEnable" e il relativo valore.
`rcSyslogHostFacility`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostFacility" e il relativo valore.
`rcSyslogHostMapErrorSeverity`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostMapErrorSeverity" e il relativo valore.
`rcSyslogHostMapFatalSeverity`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostMapFatalSeverity" e il relativo valore.
`rcSyslogHostMapInfoSeverity`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostMapInfoSeverity" e il relativo valore.
`rcSyslogHostMapWarningSeverity`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostMapWarningSeverity" e il relativo valore.
`rcSyslogHostRowStatus`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostRowStatus" e il relativo valore.
`rcSyslogHostSeverity`	`security_result.detection_fields`	Crea una coppia chiave-valore con la chiave "rcSyslogHostSeverity" e il relativo valore.
`resource`	`principal.resource.name`	Mappato direttamente.
`sec_description`	`security_result.description`	Mappato direttamente.
`seqnum`	`additional.fields`	Crea una coppia chiave-valore con la chiave "seqnum" e il valore del campo `seqnum` come valore stringa.
`session_id`	`network.session_id`	Mappato direttamente.
`severity`	`security_result.severity`	Mappato con conversione: "CRITICAL", "ERROR" e "HIGH" sono mappati direttamente; "INFO" è mappato su "INFORMATIONAL"; "WARNING" è mappato su "MEDIUM"; "LOW", "MEDIUM" e "INFORMATIONAL" sono mappati direttamente.
`SlppIncomingVlanId`	`additional.fields`	Crea una coppia chiave-valore con la chiave "SlppIncomingVlanId" e il valore del campo `SlppIncomingVlanId` come valore stringa.
`SlppRxVlan`	`additional.fields`	Crea una coppia chiave-valore con la chiave "SlppRxVlan" e il valore del campo `SlppRxVlan` come valore stringa.
`SlppSrcMacAddress`	`principal.mac`	Mappato direttamente.
`Status`	`additional.fields`	Crea una coppia chiave-valore con la chiave "Status" e il valore del campo `Status` come valore stringa.
`swname`	`additional.fields`	Crea una coppia chiave-valore con la chiave "swname" e il valore del campo `swname` come valore stringa.
`timestamp`	`metadata.event_timestamp`	Analizzato e convertito in un oggetto timestamp.
`tz`	`additional.fields`	Crea una coppia chiave-valore con la chiave "tz" e il valore del campo `tz` come valore stringa.
`Type`	`additional.fields`	Crea una coppia chiave-valore con la chiave "Type" e il valore del campo `Type` come valore stringa.
`username`	`target.user.userid`	Mappato direttamente.
`ver`	`metadata.product_version`	Mappato direttamente.
`VrId`	`additional.fields`	Crea una coppia chiave-valore con la chiave "VrId" e il valore del campo `VrId` come valore stringa.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.