Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Extreme Networks 交换机日志

支持的环境：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 代理将 Extreme Networks 交换机日志注入到 Google Security Operations。

Extreme Networks 交换机会针对端口状态更改、SLPP 事件、用户身份验证、VLAN 操作和系统事件生成 syslog 消息。解析器会从 RFC-5424 格式的 syslog 中提取字段，并将这些字段映射到统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
Bindplane 代理与 Extreme Networks 交换机之间的网络连接
如果通过代理运行，请确保防火墙端口根据 Bindplane 代理要求处于打开状态
对 Extreme Networks 交换机 CLI 的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件 。
将该文件安全地保存在将安装 Bindplane 代理的系统上。

**注意**：此 JSON 文件包含用于向 Google SecOps 验证 Bindplane 代理的凭据。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
从组织详细信息 部分复制并保存客户 ID 。

**注意**：配置 Bindplane 代理导出器时需要客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符 或 PowerShell 。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令，验证安装是否成功：
```
sc query observiq-otel-collector
```
该服务应显示为正在运行 。

Linux 安装

使用 root 或 sudo 权限打开终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。
运行以下命令，验证安装是否成功：
```
sudo systemctl status observiq-otel-collector
```
该服务应显示为 active (running) 。

其他安装资源

如需了解其他安装选项和问题排查方法，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux ：

sudo nano /etc/bindplane-agent/config.yaml

Windows ：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

配置参数

替换以下占位符：

接收器配置：
- listen_address：要监听的 IP 地址和端口：
  - 0.0.0.0，用于监听所有接口（推荐）
  - 端口 514 是标准 syslog 端口（在 Linux 上需要 root 权限；对于非 root 用户，请使用 1514）
导出器配置：
- creds_file_path：注入身份验证文件的完整路径：
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：从 Google SecOps 控制台复制的客户 ID
- endpoint：区域级端点网址：
  - 美国：malachiteingestion-pa.googleapis.com
  - 欧洲: europe-malachiteingestion-pa.googleapis.com
  - 亚洲: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需查看完整列表，请参阅区域级端点

保存配置文件

修改后，保存文件：
- Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
- Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

sudo systemctl restart observiq-otel-collector

验证服务正在运行：

sudo systemctl status observiq-otel-collector

检查日志中的错误：

sudo journalctl -u observiq-otel-collector -f

如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：
- 以管理员身份运行命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- “服务”控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry Collector 。
  3. 右键点击并选择重启。
  4. 验证服务正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志中的错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Extreme Networks 交换机上配置 syslog

使用 CLI 或控制台登录交换机。
输入 configure 命令以访问全局配置级别：
```
device# configure terminal
```
输入 syslog-server IP 地址命令以添加 syslog 服务器：
- 将 <bindplane_ip> 替换为实际的 Bindplane 代理 IP 地址。
```
logging syslog-server <bindplane_ip>
```
输入 format 命令以配置消息的 RFC-5424 格式：
```
format RFC-5424
```

UDM 映射表

日志字段	UDM 映射	逻辑
`account_type`	`target.user.user_role`	如果 `account_type` 为“Administrative”或“admin”，则设置为“ADMINISTRATOR”。否则，映射到 `target.user.attribute.roles.name`。
`application`	`target.application`	直接映射。
`attr`	`additional.fields`	经过解析以提取 WWN，并使用键“wwn”和提取的 WWN 作为字符串值创建键值对。
`class`	`additional.fields`	使用键“class”和 `class` 字段的值作为字符串值创建键值对。
`Cause`	`additional.fields`	使用键“Cause”和 `Cause` 字段的值作为字符串值创建键值对。如果不存在任何特定的身份验证字段，则创建空对象。
`Info`	`security_result.summary`	直接映射。
`interface`	`additional.fields`	使用键“interface”和 `interface` 字段的值作为字符串值创建键值对。
`ip`	`principal.ip`	直接映射。
`intermediary_ip`	`intermediary.ip`	直接映射。
`kv_data`	多项	用于提取键值对并根据键将其映射到不同的 UDM 字段。例如，`VrIpAddr` 映射到 `intermediary.ip`，`IP` 和 `Addr` 映射到 `principal.ip`，`SlppRxPort` 映射到 `principal.port`，各种 `rc*` 字段映射到 `security_result.detection_fields`。
`log_data`	多项	经过解析以提取有关用户登录、退出和其他事件的信息。用于填充 `principal.ip`、`principal.resource.name`、`target.user.userid`、`target.application`、`security_result.summary`、`security_result.description` 和 `metadata.description` 等字段。
`log_type`	`additional.fields`	使用键“log”和 `log_type` 字段的值作为字符串值创建键值对。
`message`	多项	原始日志消息。经过解析以提取各种字段。时间戳从 `timestamp` 字段（如果存在且采用“yyyy-mm-ddTHH:mm:ss”格式）或使用 grok 模式从 `message` 字段中提取。如果从消息字段中提取，则它是日志消息本身中的时间戳。根据是否存在 `has_principal`、`has_target`、`user_login` 和 `user_logout` 标志来确定。可以是“USER_LOGIN”“USER_LOGOUT”“STATUS_UPDATE”或“GENERIC_EVENT”。从 `msgid` 字段映射。静态值：“EXTREME_SWITCH”。从 `ver` 字段映射。静态值：“EXTREME_SWITCH”。
`msgid`	`metadata.product_log_id`	直接映射。
`port`	`principal.port`	直接映射并转换为整数。
`protocol`	`additional.fields`	使用键“Protocol”和 `protocol` 字段的值作为字符串值创建键值对。
`rcPortVLacpAdminEnable`	`security_result.detection_fields`	使用键“rcPortVLacpAdminEnable”及其值创建键值对。
`rcSyslogHostAddress`	`principal.hostname`	直接映射。
`rcSyslogHostAddressType`	`security_result.detection_fields`	使用键“rcSyslogHostAddressType”及其值创建键值对。
`rcSyslogHostEnable`	`security_result.detection_fields`	使用键“rcSyslogHostEnable”及其值创建键值对。
`rcSyslogHostFacility`	`security_result.detection_fields`	使用键“rcSyslogHostFacility”及其值创建键值对。
`rcSyslogHostMapErrorSeverity`	`security_result.detection_fields`	使用键“rcSyslogHostMapErrorSeverity”及其值创建键值对。
`rcSyslogHostMapFatalSeverity`	`security_result.detection_fields`	使用键“rcSyslogHostMapFatalSeverity”及其值创建键值对。
`rcSyslogHostMapInfoSeverity`	`security_result.detection_fields`	使用键“rcSyslogHostMapInfoSeverity”及其值创建键值对。
`rcSyslogHostMapWarningSeverity`	`security_result.detection_fields`	使用键“rcSyslogHostMapWarningSeverity”及其值创建键值对。
`rcSyslogHostRowStatus`	`security_result.detection_fields`	使用键“rcSyslogHostRowStatus”及其值创建键值对。
`rcSyslogHostSeverity`	`security_result.detection_fields`	使用键“rcSyslogHostSeverity”及其值创建键值对。
`resource`	`principal.resource.name`	直接映射。
`sec_description`	`security_result.description`	直接映射。
`seqnum`	`additional.fields`	使用键“seqnum”和 `seqnum` 字段的值作为字符串值创建键值对。
`session_id`	`network.session_id`	直接映射。
`severity`	`security_result.severity`	映射并转换：“CRITICAL”“ERROR”“HIGH”直接映射；“INFO”映射到“INFORMATIONAL”；“WARNING”映射到“MEDIUM”；“LOW”“MEDIUM”和“INFORMATIONAL”直接映射。
`SlppIncomingVlanId`	`additional.fields`	使用键“SlppIncomingVlanId”和 `SlppIncomingVlanId` 字段的值作为字符串值创建键值对。
`SlppRxVlan`	`additional.fields`	使用键“SlppRxVlan”和 `SlppRxVlan` 字段的值作为字符串值创建键值对。
`SlppSrcMacAddress`	`principal.mac`	直接映射。
`Status`	`additional.fields`	使用键“Status”和 `Status` 字段的值作为字符串值创建键值对。
`swname`	`additional.fields`	使用键“swname”和 `swname` 字段的值作为字符串值创建键值对。
`timestamp`	`metadata.event_timestamp`	经过解析并转换为时间戳对象。
`tz`	`additional.fields`	使用键“tz”和 `tz` 字段的值作为字符串值创建键值对。
`Type`	`additional.fields`	使用键“Type”和 `Type` 字段的值作为字符串值创建键值对。
`username`	`target.user.userid`	直接映射。
`ver`	`metadata.product_version`	直接映射。
`VrId`	`additional.fields`	使用键“VrId”和 `VrId` 字段的值作为字符串值创建键值对。