H3C Comware Platform Switch-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie H3C Comware Platform Switch-Logs mit Bindplane in Google Security Operations aufnehmen.

H3C Comware Platform Switches sind Netzwerk-Switches der Enterprise-Klasse, die Switching-Funktionen für Layer 2 und Layer 3, erweiterte Sicherheitsfunktionen und eine umfassende Netzwerkverwaltung über das Comware-Betriebssystem bieten. Die Switches unterstützen umfangreiche Protokollierungsfunktionen über die Informationszentrale für die Überwachung von Netzwerkbetrieb, Sicherheitsereignissen und Systemdiagnosen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem H3C Comware Platform Switch
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die H3C Comware Platform Switch-Verwaltungskonsole über Konsole, Telnet oder SSH
  • H3C Comware Platform Switch mit aktivierter Information Center-Funktion (standardmäßig aktiviert)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten für die Aufnahme von Syslog-Daten und das Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • listen_address: Auf 0.0.0.0:514 setzen, um an allen Schnittstellen auf UDP-Port 51 zu lauschen. Wenn Sie Linux als Nicht-Root-Nutzer ausführen, können Sie einen anderen Port wie 1514 verwenden.

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: Ersetzen Sie YOUR_CUSTOMER_ID durch Ihre Kundennummer aus dem vorherigen Schritt.
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Setzen Sie den Wert genau wie dargestellt auf H3C_SWITCH.
      • ingestion_labels: Optionale Labels im YAML-Format (z. B. env: production).

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für H3C Comware Platform Switch konfigurieren

Konfigurieren Sie Ihren H3C Comware Platform Switch so, dass Syslog-Nachrichten an den BindPlane-Agent gesendet werden.

Auf die Switch-Befehlszeile zugreifen

  1. Melden Sie sich mit einer der folgenden Methoden am H3C Comware Platform Switch an:
    • Konsolenportverbindung
    • Telnet
    • SSH

  2. Geben Sie den folgenden Befehl ein, um die Systemansicht aufzurufen:

    <H3C> system-view

Die Eingabeaufforderung ändert sich zu [H3C]. Das bedeutet, dass Sie sich in der Systemansicht befinden.

Prüfen, ob das Informationscenter aktiviert ist

  • Das Informationscenter ist auf H3C Comware Platform Switches standardmäßig aktiviert. Geben Sie den folgenden Befehl ein, um das Informationscenter zu überprüfen oder zu aktivieren:

    [H3C] info-center enable

  • Wenn das Informationscenter bereits aktiviert ist, wird Folgendes angezeigt:

    Info: Information center is enabled.

Zeitstempelformat konfigurieren (optional)

  • Das Standardzeitstempelformat für Systeminformationen, die an den Log-Host gesendet werden, ist „date“. Verwenden Sie den folgenden Befehl, um das Zeitstempelformat zu konfigurieren:

    [H3C] info-center timestamp loghost date

  • Verfügbare Zeitstempelformate:

    • date: Das Format ist „Mmm dd hh:mm:ss:ms yyyy“ (z. B. Dec 8 10:12:21:708 2012).
    • iso: ISO 8601-Format (z. B. 2012-09-21T15:32:55)
    • no-year-date: Aktuelles Systemdatum und ‑uhrzeit ohne Jahr
    • none: Keine Zeitstempelinformationen

Log-Host konfigurieren

  • Geben Sie den BindPlane-Agent-Host als Log-Host an. Der Parameter „facility“ kann auf „local0“ bis „local7“ festgelegt werden. Der Standardwert ist „local7“.

    [H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7

    • Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse des Hosts, auf dem der Bindplane-Agent ausgeführt wird.

      • Wenn der Bindplane-Agent beispielsweise auf dem Host 192.168.1.100 ausgeführt wird:

        [H3C] info-center loghost 192.168.1.100 port 514 facility local7

      • Parameter:

        • BINDPLANE_AGENT_IP: IP-Adresse des Bindplane-Agent-Hosts
        • port 514: UDP-Portnummer (muss mit dem im Bindplane-Agent konfigurierten Port übereinstimmen)
        • facility local7: Syslog-Einrichtung (local0 bis local7 sind gültig; Standard ist local7)

Quellschnittstelle konfigurieren (optional)

  • Der Quellbefehl „info-center loghost“ wird erst wirksam, nachdem das Informationscenter mit dem Befehl „info-center enable“ aktiviert wurde. So geben Sie eine Quellschnittstelle für Log-Nachrichten an:

    [H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER

    • Beispiel: VLAN-Schnittstelle 1 als Quelle verwenden:

      [H3C] info-center loghost source vlan-interface 1

Standardmäßige Logausgabe an den Loghost deaktivieren

  • Standardmäßig gibt das System Informationen zu allen Modulen an den Log-Host aus. Wenn Sie festlegen möchten, welche Module Logs senden, deaktivieren Sie zuerst die Standardausgabe:

    [H3C] undo info-center source default loghost

Regeln für die Logausgabe konfigurieren

Konfigurieren Sie, welche Module und Schweregrade Logs an den Log-Host senden sollen. Die Systeminformationen werden in acht Schweregrade von 0 bis 7 in absteigender Reihenfolge eingeteilt. Der Schalter gibt die Systeminformationen mit einem Schweregrad aus, der höher oder gleich dem angegebenen Niveau ist. Wenn Sie beispielsweise eine Ausgaberegel mit dem Schweregrad 6 (Informationsmeldung) konfigurieren, werden Informationen mit einem Schweregrad von 0 bis 6 ausgegeben.

  • Schweregrade (0–7):

    • 0: Notfälle
    • 1: Benachrichtigungen
    • 2: Kritisch
    • 3: Fehler
    • 4: Warnungen
    • 5. Benachrichtigungen
    • 6: Information
    • 7. Debugging

  • So konfigurieren Sie die Logausgabe für alle Module auf der Informationsebene oder höher:

    [H3C] info-center source default loghost level informational

  • So konfigurieren Sie die Log-Ausgabe für bestimmte Module (z. B. ARP und IP):

    [H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

  • So rufen Sie verfügbare Quellmodule auf:

    [H3C] info-center source ?

Konfiguration speichern

  1. Speichern Sie die Konfiguration, damit sie nach einem Neustart beibehalten wird:

    [H3C] save

  2. Bestätigen Sie bei Aufforderung mit Y.

Konfiguration prüfen

  • Verwenden Sie den folgenden Befehl, um die Konfiguration des Informationszentrums zu prüfen:

    [H3C] display info-center

Mit diesem Befehl wird die aktuelle Konfiguration des Informationscenters angezeigt, einschließlich der Einstellungen für den Log-Host, der Ausgaberegeln und der Channelkonfigurationen.

Beispiel für eine vollständige Konfiguration

  • Das folgende Beispiel zeigt eine vollständige Konfiguration zum Senden von Logs aus allen Modulen auf der Informationsstufe oder höher an einen Log-Host unter 192.168.1.100:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

Beispielkonfiguration für bestimmte Module

  • Das folgende Beispiel zeigt die Konfiguration zum Senden von ARP- und IP-Modul-Logs auf der Informationsstufe an einen Log-Host:

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
extensions.auth.type Im Ereignis verwendeter Authentifizierungstyp
Hostname intermediary.asset.hostname Hostname des Assets, das mit dem Vermittler verknüpft ist
Hostname intermediary.hostname Hostname der Vermittlerentität
inter_ip intermediary.asset.ip IP-Adresse des mit dem Vermittler verknüpften Assets
inter_ip intermediary.ip IP-Adresse des Vermittlers
IPAddr, prin_ip principal.asset.ip IP-Adresse des Assets, das mit dem Rechtssubjekt verknüpft ist
IPAddr, prin_ip principal.ip IP-Adresse des Rechtssubjekts
prin_port principal.port Portnummer, die mit dem Prinzipal verknüpft ist
Nutzer, Nutzer principal.user.userid Nutzer-ID des Prinzipal
tar_host target.asset.hostname Hostname des mit dem Ziel verknüpften Assets
tar_host target.hostname Hostname der Zielentität
tar_ip target.asset.ip IP-Adresse des mit dem Ziel verknüpften Assets
tar_ip target.ip IP-Adresse des Zielobjekts
tar_port target.port Portnummer, die dem Ziel zugeordnet ist
tar_user target.user.userid Nutzer-ID des Ziels
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination additional.fields Zusätzliche Metadatenfelder, die nicht von Standard-UDM-Feldern abgedeckt werden
Ab metadata.description Eine Beschreibung des Ereignisses
timestamp metadata.event_timestamp Zeitstempel des Ereignisses
metadata.event_type Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
event_type metadata.product_event_type Produktspezifische Kennung für den Ereignistyp
metadata.product_name Name des Produkts, das das Ereignis generiert
metadata.vendor_name Name des Anbieters des Produkts

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten