Mengumpulkan log Switch Platform Comware H3C

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Switch Platform Comware H3C ke Google Security Operations menggunakan Bindplane.

Switch Platform Comware H3C adalah switch jaringan kelas perusahaan yang menyediakan kemampuan switching Layer 2 dan Layer 3, fitur keamanan canggih, dan pengelolaan jaringan yang komprehensif melalui sistem operasi Comware. Switch ini mendukung kemampuan logging yang ekstensif melalui fitur pusat informasi untuk memantau operasi jaringan, peristiwa keamanan, dan diagnostik sistem.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan Switch Platform Comware H3C
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol pengelolaan Switch Platform Comware H3C melalui konsol, Telnet, atau SSH
Switch Platform H3C Comware dengan fitur pusat informasi diaktifkan (diaktifkan secara default)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.

Verifikasi penginstalan dengan menjalankan:

sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

Parameter konfigurasi

Ganti placeholder berikut:
- Konfigurasi penerima:
  - listen_address: Setel ke 0.0.0.0:514 untuk memproses semua antarmuka di port UDP 51. Anda dapat menggunakan port lain seperti 1514 jika berjalan sebagai non-root di Linux.
- Konfigurasi eksportir:
  - creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: Ganti YOUR_CUSTOMER_ID dengan ID pelanggan Anda dari langkah sebelumnya.
  - endpoint: URL endpoint regional:
    - Amerika Serikat: malachiteingestion-pa.googleapis.com
    - Eropa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
  - log_type: Tetapkan ke H3C_SWITCH persis seperti yang ditunjukkan.
  - ingestion_labels: Label opsional dalam format YAML (misalnya, env: production).

Simpan file konfigurasi

Setelah mengedit, simpan file:

Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

  sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

  sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi penerusan syslog H3C Comware Platform Switch

Konfigurasi Switch Platform Comware H3C Anda untuk mengirim pesan syslog ke agen Bindplane.

Mengakses CLI switch

Login ke Switch Platform Comware H3C menggunakan salah satu metode berikut:
- Koneksi port konsol
- Telnet
- SSH
Masukkan tampilan sistem dengan mengetik perintah berikut:
```
<H3C> system-view
```

Perintah berubah menjadi [H3C] yang menunjukkan bahwa Anda berada dalam tampilan sistem.

Memverifikasi bahwa pusat informasi diaktifkan

Pusat informasi diaktifkan secara default di Switch Platform Comware H3C. Untuk memverifikasi atau mengaktifkan pusat informasi, masukkan perintah berikut:
```
[H3C] info-center enable
```
Jika pusat informasi sudah diaktifkan, sistem akan menampilkan:
```
Info: Information center is enabled.
```

Mengonfigurasi format stempel waktu (opsional)

Format stempel waktu default untuk informasi sistem yang dikirim ke host log adalah tanggal. Untuk mengonfigurasi format stempel waktu, gunakan perintah berikut:
```
[H3C] info-center timestamp loghost date
```
Format stempel waktu yang tersedia:
- date: Formatnya adalah "Mmm dd hh:mm:ss:ms yyyy" (misalnya, 8 Des 10:12:21:708 2012)
- iso: Format ISO 8601 (misalnya, 2012-09-21T15:32:55)
- no-year-date: Tanggal dan waktu sistem saat ini tanpa tahun
- none: Tidak ada informasi stempel waktu

Mengonfigurasi host log

Tentukan host agen Bindplane sebagai host log. Parameter fasilitas dapat disetel dari local0 hingga local7, dengan nilai defaultnya adalah local7.
```
[H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7
```
- Ganti BINDPLANE_AGENT_IP dengan alamat IP host yang menjalankan agen BindPlane.
  - Misalnya, jika agen Bindplane berjalan di host 192.168.1.100:
```
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
```
  - Parameter:
    - BINDPLANE_AGENT_IP: Alamat IP host agen Bindplane
    - port 514: Nomor port UDP (harus cocok dengan port yang dikonfigurasi di agen Bindplane)
    - facility local7: Fasilitas syslog (local0 hingga local7 valid; default adalah local7)

Mengonfigurasi antarmuka sumber (opsional)

Perintah sumber loghost info-center hanya berlaku setelah pusat informasi diaktifkan dengan perintah info-center enable. Untuk menentukan antarmuka sumber bagi pesan log:
```
[H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER
```
- Misalnya, untuk menggunakan VLAN-interface 1 sebagai sumber:
```
[H3C] info-center loghost source vlan-interface 1
```

Menonaktifkan output log default ke host log

Secara default, sistem akan mengeluarkan informasi semua modul ke host log. Untuk mengontrol modul mana yang mengirim log, nonaktifkan output default terlebih dahulu:
```
[H3C] undo info-center source default loghost
```

Mengonfigurasi aturan output log

Konfigurasi modul dan tingkat keparahan yang harus mengirim log ke host log. Informasi sistem diklasifikasikan ke dalam delapan tingkat keparahan dari 0 hingga 7 dalam urutan menurun. Switch menampilkan informasi sistem dengan tingkat keparahan yang lebih tinggi atau sama dengan tingkat yang ditentukan. Misalnya, jika Anda mengonfigurasi aturan output dengan nilai tingkat keparahan 6 (informasi), informasi dengan nilai tingkat keparahan dari 0 hingga 6 akan ditampilkan.

Tingkat keparahan (0-7):
- 0: darurat
- 1: peringatan
- 2: penting
- 3: kesalahan
- 4: peringatan
- 5: notifikasi
- 6: informatif
- 7: proses debug
Untuk mengonfigurasi output log untuk semua modul pada tingkat informasi atau yang lebih tinggi:
```
[H3C] info-center source default loghost level informational
```

Untuk mengonfigurasi output log untuk modul tertentu (misalnya, ARP dan IP):

[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

Untuk melihat modul sumber yang tersedia, gunakan:
```
[H3C] info-center source ?
```

Menyimpan konfigurasi

Simpan konfigurasi untuk memastikan konfigurasi tetap ada setelah dimulai ulang:
```
[H3C] save
```
Saat diminta, konfirmasi dengan memasukkan Y.

Memverifikasi konfigurasi

Untuk memverifikasi konfigurasi pusat informasi, gunakan perintah berikut:
```
[H3C] display info-center
```

Perintah ini menampilkan konfigurasi pusat informasi saat ini, termasuk setelan host log, aturan output, dan konfigurasi channel.

Contoh konfigurasi lengkap

Contoh berikut menunjukkan konfigurasi lengkap untuk mengirim log dari semua modul di tingkat informasi atau lebih tinggi ke host log di 192.168.1.100:

<H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

Contoh konfigurasi untuk modul tertentu

Contoh berikut menunjukkan konfigurasi untuk mengirim log modul ARP dan IP di tingkat informasi ke host log:

<H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
	extensions.auth.type	Jenis autentikasi yang digunakan dalam acara
hostname	intermediary.asset.hostname	Nama host aset yang terkait dengan perantara
hostname	intermediary.hostname	Nama host entitas perantara
inter_ip	intermediary.asset.ip	Alamat IP aset yang terkait dengan perantara
inter_ip	intermediary.ip	Alamat IP entitas perantara
IPAddr, prin_ip	principal.asset.ip	Alamat IP aset yang terkait dengan prinsipal
IPAddr, prin_ip	principal.ip	Alamat IP entitas utama
prin_port	principal.port	Nomor port yang terkait dengan prinsipal
Pengguna, pengguna	principal.user.userid	ID pengguna prinsipal
tar_host	target.asset.hostname	Nama host aset yang terkait dengan target
tar_host	target.hostname	Nama host entitas target
tar_ip	target.asset.ip	Alamat IP aset yang terkait dengan target
tar_ip	target.ip	Alamat IP entitas target
tar_port	target.port	Nomor port yang terkait dengan target
tar_user	target.user.userid	ID pengguna target
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination	additional.fields	Kolom metadata tambahan yang tidak tercakup oleh kolom UDM standar
menurun	metadata.description	Deskripsi peristiwa
timestamp	metadata.event_timestamp	Stempel waktu saat peristiwa terjadi
	metadata.event_type	Jenis acara (misalnya, USER_LOGIN, NETWORK_CONNECTION)
event_type	metadata.product_event_type	ID jenis peristiwa khusus produk
	metadata.product_name	Nama produk yang menghasilkan peristiwa
	metadata.vendor_name	Nama vendor produk

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.