Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Extreme Networks 交換器記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Extreme Networks 交換器記錄檔擷取至 Google Security Operations。

Extreme Networks 交換器會針對連接埠狀態變更、SLPP 事件、使用者驗證、VLAN 作業和系統事件，產生系統記錄訊息。剖析器會從 RFC-5424 格式的系統記錄檔中擷取欄位，並對應至統合式資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Extreme Networks 交換器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Extreme Networks 交換器 CLI 的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/extreme_switch:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: EXTREME_SWITCH
        raw_log_field: body

service:
    pipelines:
        logs/extreme_switch_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/extreme_switch

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Extreme Networks 交換器上設定系統記錄

使用 CLI 或控制台登入交換器。
輸入 configure 指令，存取全域設定層級：
```
device# configure terminal
```
輸入 syslog 伺服器 IP 位址指令，新增 syslog 伺服器：
- 請將 <bindplane_ip> 替換為實際的 Bindplane 代理程式 IP 位址。
```
logging syslog-server <bindplane_ip>
```
輸入格式指令，為訊息設定 RFC-5424 格式：
```
format RFC-5424
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`account_type`	`target.user.user_role`	如果 `account_type` 是「Administrative」或「admin」，請設為「ADMINISTRATOR」。否則，請對應至 `target.user.attribute.roles.name`。
`application`	`target.application`	直接對應。
`attr`	`additional.fields`	剖析以擷取 WWN，並建立鍵/值組合，其中鍵為「wwn」，值為擷取的 WWN 字串。
`class`	`additional.fields`	建立鍵/值組合，並將鍵設為「class」，`class` 欄位的值則設為字串值。
`Cause`	`additional.fields`	建立鍵/值組合，並將鍵設為「原因」，`Cause` 欄位的值則設為字串值。如果沒有特定驗證欄位，系統會建立空白物件。
`Info`	`security_result.summary`	直接對應。
`interface`	`additional.fields`	建立鍵/值組合，並將鍵設為「介面」，`interface` 欄位的值則設為字串值。
`ip`	`principal.ip`	直接對應。
`intermediary_ip`	`intermediary.ip`	直接對應。
`kv_data`	多項政策	用於擷取鍵/值對，並根據鍵將這些鍵/值對對應至不同的 UDM 欄位。舉例來說，`VrIpAddr` 會對應至 `intermediary.ip`，`IP` 和 `Addr` 會對應至 `principal.ip`，`SlppRxPort` 會對應至 `principal.port`，而各種 `rc*` 欄位會對應至 `security_result.detection_fields`。
`log_data`	多項政策	並剖析使用者登入、登出和其他事件的相關資訊。用於填入 `principal.ip`、`principal.resource.name`、`target.user.userid`、`target.application`、`security_result.summary`、`security_result.description` 和 `metadata.description` 等欄位。
`log_type`	`additional.fields`	建立鍵/值組合，並將鍵設為「log」，`log_type` 欄位的值則設為字串值。
`message`	多項政策	原始記錄訊息。系統會剖析這些資料，擷取各種欄位。時間戳記會從 `timestamp` 欄位 (如果存在且格式為「yyyy-mm-ddTHH:mm:ss」) 或 `message` 欄位中，使用 grok 模式擷取。如果從訊息欄位擷取，就是記錄訊息本身的時間戳記。根據 `has_principal`、`has_target`、`user_login` 和 `user_logout` 旗標是否存在而定。可以是「USER_LOGIN」、「USER_LOGOUT」、「STATUS_UPDATE」或「GENERIC_EVENT」。對應「`msgid`」欄位。靜態值：「EXTREME_SWITCH」。對應「`ver`」欄位。靜態值：「EXTREME_SWITCH」。
`msgid`	`metadata.product_log_id`	直接對應。
`port`	`principal.port`	直接對應並轉換為整數。
`protocol`	`additional.fields`	建立鍵/值組合，並將鍵設為「通訊協定」，`protocol` 欄位的值則設為字串值。
`rcPortVLacpAdminEnable`	`security_result.detection_fields`	建立鍵/值組合，鍵為「rcPortVLacpAdminEnable」，值則為該鍵的值。
`rcSyslogHostAddress`	`principal.hostname`	直接對應。
`rcSyslogHostAddressType`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostAddressType」，值則為其值。
`rcSyslogHostEnable`	`security_result.detection_fields`	建立鍵/值組合，鍵為「rcSyslogHostEnable」，值則為其值。
`rcSyslogHostFacility`	`security_result.detection_fields`	建立鍵/值組合，索引鍵為「rcSyslogHostFacility」，值則為該索引鍵的值。
`rcSyslogHostMapErrorSeverity`	`security_result.detection_fields`	建立鍵/值組合，並將鍵設為「rcSyslogHostMapErrorSeverity」，值則設為該鍵的值。
`rcSyslogHostMapFatalSeverity`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostMapFatalSeverity」，值則為其值。
`rcSyslogHostMapInfoSeverity`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostMapInfoSeverity」，值則為該鍵的值。
`rcSyslogHostMapWarningSeverity`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostMapWarningSeverity」，值則為該鍵的值。
`rcSyslogHostRowStatus`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostRowStatus」，值則為其值。
`rcSyslogHostSeverity`	`security_result.detection_fields`	建立鍵/值組合，其中鍵為「rcSyslogHostSeverity」，值則為該鍵的值。
`resource`	`principal.resource.name`	直接對應。
`sec_description`	`security_result.description`	直接對應。
`seqnum`	`additional.fields`	建立鍵/值組合，並將鍵設為「seqnum」，`seqnum` 欄位的值則設為字串值。
`session_id`	`network.session_id`	直接對應。
`severity`	`security_result.severity`	已對應轉換：「重大」、「錯誤」、「高」會直接對應；「資訊」會對應至「參考資訊」；「警告」會對應至「中」；「低」、「中」和「參考資訊」會直接對應。
`SlppIncomingVlanId`	`additional.fields`	建立鍵/值組合，鍵為「SlppIncomingVlanId」，值為 `SlppIncomingVlanId` 欄位的值 (字串值)。
`SlppRxVlan`	`additional.fields`	建立鍵/值組合，並將鍵設為「SlppRxVlan」，`SlppRxVlan` 欄位的值則設為字串值。
`SlppSrcMacAddress`	`principal.mac`	直接對應。
`Status`	`additional.fields`	建立鍵/值組合，並將鍵設為「Status」，`Status` 欄位的值則設為字串值。
`swname`	`additional.fields`	建立鍵/值組合，鍵為「swname」，值為 `swname` 欄位的值 (字串值)。
`timestamp`	`metadata.event_timestamp`	剖析並轉換為時間戳記物件。
`tz`	`additional.fields`	建立鍵/值組合，其中鍵為「tz」，值為 `tz` 欄位的值 (字串值)。
`Type`	`additional.fields`	建立鍵/值組合，並將鍵設為「Type」，`Type` 欄位的值則設為字串值。
`username`	`target.user.userid`	直接對應。
`ver`	`metadata.product_version`	直接對應。
`VrId`	`additional.fields`	建立鍵/值組合，鍵為「VrId」，值為 `VrId` 欄位的字串值。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。