Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Extreme Networks スイッチのログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Extreme Networks スイッチのログを Google Security Operations に取り込む方法について説明します。

Extreme Networks スイッチは、ポートステータスの変更、SLPP イベント、ユーザー認証、VLAN オペレーション、システムイベントに関する syslog メッセージを生成します。パーサーは、RFC-5424 形式の syslog からフィールドを抽出し、Unified Data Model（UDM）にマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと Extreme Networks スイッチ間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認する
Extreme Networks スイッチ CLI への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane エージェントをインストールするシステムにファイルを安全に保存します。

**注:** この JSON ファイルには、Google SecOps に対して Bindplane エージェントを認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

**注:** お客様 ID は、Bindplane エージェントエクスポータを構成するために必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows へのインストール

管理者としてコマンドプロンプト または PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux へのインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスは active (running) と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを探す

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集する

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンするには 0.0.0.0（推奨）
  - ポート 514 は標準の syslog ポートです（Linux では root が必要です。root 以外の場合は 1514 を使用します）。
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョンエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X を押します。
- Windows: [ファイル] > [保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を実行します。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R を押して「services.msc」と入力し、Enter キーを押します。
  2. [observIQ OpenTelemetry Collector] を探します。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Extreme Networks スイッチで syslog を構成する

CLI またはコンソールを使用してスイッチにログインします。
configure コマンドを入力して、グローバル構成レベルにアクセスします。
```
device# configure terminal
```
syslog-server IP address コマンドを入力して、syslog サーバーを追加します。
- <bindplane_ip> は、実際の Bindplane エージェントの IP アドレスに置き換えます。
```
logging syslog-server <bindplane_ip>
```
format コマンドを入力して、メッセージの RFC-5424 形式を構成します。
```
format RFC-5424
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`account_type`	`target.user.user_role`	`account_type` が「Administrative」または「admin」の場合は、「ADMINISTRATOR」に設定します。それ以外の場合は、`target.user.attribute.roles.name` にマッピングします。
`application`	`target.application`	直接マッピングされます。
`attr`	`additional.fields`	解析して WWN を抽出し、キー「wwn」と抽出した WWN を文字列値とする Key-Value ペアを作成します。
`class`	`additional.fields`	キー「class」と `class` フィールドの値を文字列値とする Key-Value ペアを作成します。
`Cause`	`additional.fields`	キー「Cause」と `Cause` フィールドの値を文字列値とする Key-Value ペアを作成します。特定の認証フィールドが存在しない場合は、空のオブジェクトが作成されます。
`Info`	`security_result.summary`	直接マッピングされます。
`interface`	`additional.fields`	キー「interface」と `interface` フィールドの値を文字列値とする Key-Value ペアを作成します。
`ip`	`principal.ip`	直接マッピングされます。
`intermediary_ip`	`intermediary.ip`	直接マッピングされます。
`kv_data`	各種	Key-Value ペアを抽出し、キーに基づいてさまざまな UDM フィールドにマッピングするために使用されます。たとえば、`VrIpAddr` は `intermediary.ip` にマッピングされ、`IP` と `Addr` は `principal.ip` にマッピングされ、`SlppRxPort` は `principal.port` にマッピングされ、さまざまな `rc*` フィールドは `security_result.detection_fields` にマッピングされます。
`log_data`	各種	ユーザーのログイン、ログアウト、その他のイベントに関する情報を抽出するために解析されます。`principal.ip`、`principal.resource.name`、`target.user.userid`、`target.application`、`security_result.summary`、`security_result.description`、`metadata.description` などのフィールドに入力するために使用されます。
`log_type`	`additional.fields`	キー「log」と `log_type` フィールドの値を文字列値とする Key-Value ペアを作成します。
`message`	各種	元のログメッセージ。解析してさまざまなフィールドを抽出します。タイムスタンプは、`timestamp` フィールド（存在し、「yyyy-mm-ddTHH:mm:ss」形式の場合）または `message` フィールドから grok パターンを使用して抽出されます。メッセージフィールドから抽出された場合、ログメッセージ自体のタイムスタンプになります。`has_principal`、`has_target`、`user_login`、`user_logout` フラグの有無に基づいて決定されます。「USER_LOGIN」、「USER_LOGOUT」、「STATUS_UPDATE」、「GENERIC_EVENT」のいずれかになります。`msgid` フィールドからマッピングされます。静的な値: 「EXTREME_SWITCH」。`ver` フィールドからマッピングされます。静的な値: 「EXTREME_SWITCH」。
`msgid`	`metadata.product_log_id`	直接マッピングされます。
`port`	`principal.port`	直接マッピングされ、整数に変換されます。
`protocol`	`additional.fields`	キー「Protocol」と `protocol` フィールドの値を文字列値とする Key-Value ペアを作成します。
`rcPortVLacpAdminEnable`	`security_result.detection_fields`	キー「rcPortVLacpAdminEnable」とその値で Key-Value ペアを作成します。
`rcSyslogHostAddress`	`principal.hostname`	直接マッピングされます。
`rcSyslogHostAddressType`	`security_result.detection_fields`	キー「rcSyslogHostAddressType」とその値で Key-Value ペアを作成します。
`rcSyslogHostEnable`	`security_result.detection_fields`	キー「rcSyslogHostEnable」とその値で Key-Value ペアを作成します。
`rcSyslogHostFacility`	`security_result.detection_fields`	キー「rcSyslogHostFacility」とその値で Key-Value ペアを作成します。
`rcSyslogHostMapErrorSeverity`	`security_result.detection_fields`	キー「rcSyslogHostMapErrorSeverity」とその値で Key-Value ペアを作成します。
`rcSyslogHostMapFatalSeverity`	`security_result.detection_fields`	キー「rcSyslogHostMapFatalSeverity」とその値で Key-Value ペアを作成します。
`rcSyslogHostMapInfoSeverity`	`security_result.detection_fields`	キー「rcSyslogHostMapInfoSeverity」とその値で Key-Value ペアを作成します。
`rcSyslogHostMapWarningSeverity`	`security_result.detection_fields`	キー「rcSyslogHostMapWarningSeverity」とその値で Key-Value ペアを作成します。
`rcSyslogHostRowStatus`	`security_result.detection_fields`	キー「rcSyslogHostRowStatus」とその値で Key-Value ペアを作成します。
`rcSyslogHostSeverity`	`security_result.detection_fields`	キー「rcSyslogHostSeverity」とその値で Key-Value ペアを作成します。
`resource`	`principal.resource.name`	直接マッピングされます。
`sec_description`	`security_result.description`	直接マッピングされます。
`seqnum`	`additional.fields`	キー「seqnum」と `seqnum` フィールドの値を文字列値とする Key-Value ペアを作成します。
`session_id`	`network.session_id`	直接マッピングされます。
`severity`	`security_result.severity`	変換してマッピングします。「CRITICAL」、「ERROR」、「HIGH」は直接マッピングされます。「INFO」は「INFORMATIONAL」にマッピングされます。「WARNING」は「MEDIUM」にマッピングされます。「LOW」、「MEDIUM」、「INFORMATIONAL」は直接マッピングされます。
`SlppIncomingVlanId`	`additional.fields`	キー「SlppIncomingVlanId」と `SlppIncomingVlanId` フィールドの値を文字列値とする Key-Value ペアを作成します。
`SlppRxVlan`	`additional.fields`	キー「SlppRxVlan」と `SlppRxVlan` フィールドの値を文字列値とする Key-Value ペアを作成します。
`SlppSrcMacAddress`	`principal.mac`	直接マッピングされます。
`Status`	`additional.fields`	キー「Status」と `Status` フィールドの値を文字列値とする Key-Value ペアを作成します。
`swname`	`additional.fields`	キー「swname」と `swname` フィールドの値を文字列値とする Key-Value ペアを作成します。
`timestamp`	`metadata.event_timestamp`	解析してタイムスタンプオブジェクトに変換します。
`tz`	`additional.fields`	キー「tz」と `tz` フィールドの値を文字列値とする Key-Value ペアを作成します。
`Type`	`additional.fields`	キー「Type」と `Type` フィールドの値を文字列値とする Key-Value ペアを作成します。
`username`	`target.user.userid`	直接マッピングされます。
`ver`	`metadata.product_version`	直接マッピングされます。
`VrId`	`additional.fields`	キー「VrId」と `VrId` フィールドの値を文字列値とする Key-Value ペアを作成します。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。