H3C Comware プラットフォーム スイッチのログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して H3C Comware Platform Switch のログを Google Security Operations に取り込む方法について説明します。

H3C Comware Platform Switches は、Comware オペレーティング システムを通じてレイヤ 2 とレイヤ 3 のスイッチング機能、高度なセキュリティ機能、包括的なネットワーク管理を提供するエンタープライズ クラスのネットワーク スイッチです。スイッチは、情報センター機能を通じて、ネットワーク オペレーション、セキュリティ イベント、システム診断をモニタリングするための広範なロギング機能をサポートしています。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • Bindplane エージェントと H3C Comware プラットフォーム スイッチ間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • コンソール、Telnet、SSH 経由での H3C Comware Platform Switch 管理コンソールへの特権アクセス
  • 情報センター機能が有効になっている H3C Comware プラットフォーム スイッチ(デフォルトで有効)

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

サービスは RUNNING と表示されます。

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

サービスが [アクティブ(実行中)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

構成パラメータ

  • 各プレースホルダを次のように置き換えます。

    • レシーバーの構成:

      • listen_address: 0.0.0.0:514 に設定して、UDP ポート 51 のすべてのインターフェースでリッスンします。Linux で非 root として実行している場合は、1514 などの別のポートを使用できます。

    • エクスポータの構成:

      • creds_file_path: 取り込み認証ファイルのフルパス:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: YOUR_CUSTOMER_ID は、前の手順で取得した顧客 ID に置き換えます。
      • endpoint: リージョン エンドポイント URL:
        • 米国: malachiteingestion-pa.googleapis.com
        • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
        • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 完全なリストについては、リージョン エンドポイントをご覧ください。
      • log_type: 示されているとおりに H3C_SWITCH に設定します。
      • ingestion_labels: YAML 形式の省略可能なラベル(例: env: production)。

構成ファイルを保存する

編集が完了したら、ファイルを保存します。

  • Linux: Ctrl+OEnterCtrl+X の順に押します。
  • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

        sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

        sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
      2. observIQ OpenTelemetry Collector を見つけます。

      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

H3C Comware プラットフォーム スイッチの Syslog 転送を構成する

syslog メッセージを Bindplane エージェントに送信するように H3C Comware プラットフォーム スイッチを構成します。

スイッチの CLI にアクセスする

  1. 次のいずれかの方法で H3C Comware Platform Switch にログインします。
    • コンソール ポート接続
    • Telnet
    • SSH

  2. 次のコマンドを入力して、システム ビューに入ります。

    <H3C> system-view

プロンプトが [H3C] に変わり、システムビューに切り替わったことが示されます。

情報センターが有効になっていることを確認する

  • 情報センターは、H3C Comware プラットフォーム スイッチでデフォルトで有効になっています。情報センターを確認または有効にするには、次のコマンドを入力します。

    [H3C] info-center enable

  • 情報センターがすでに有効になっている場合、システムには次のメッセージが表示されます。

    Info: Information center is enabled.

タイムスタンプ形式を構成する(省略可)

  • ログホストに送信されるシステム情報のデフォルトのタイムスタンプ形式は日付です。タイムスタンプの形式を構成するには、次のコマンドを使用します。

    [H3C] info-center timestamp loghost date

  • 使用可能なタイムスタンプの形式:

    • date: 形式は「Mmm dd hh:mm:ss:ms yyyy」(例: Dec 8 10:12:21:708 2012)
    • iso: ISO 8601 形式(例: 2012-09-21T15:32:55)
    • no-year-date: 年なしの現在のシステム日時
    • none: タイムスタンプ情報なし

ログホストを構成する

  • Bindplane エージェントのホストをログホストとして指定します。facility パラメータは local0 から local7 まで設定できます。デフォルト値は local7 です。

    [H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7

    • BINDPLANE_AGENT_IP は、Bindplane エージェントを実行しているホストの IP アドレスに置き換えます。

      • たとえば、Bindplane エージェントがホスト 192.168.1.100 で実行されている場合:

        [H3C] info-center loghost 192.168.1.100 port 514 facility local7

      • パラメータ:

        • BINDPLANE_AGENT_IP: Bindplane エージェント ホストの IP アドレス
        • port 514: UDP ポート番号(Bindplane エージェントで構成されたポートと一致する必要があります)
        • facility local7: Syslog ファシリティ(local0 ~ local7 が有効。デフォルトは local7)

ソース インターフェースを構成する(省略可)

  • info-center loghost source コマンドは、info-center enable コマンドで情報センターが有効になった後にのみ有効になります。ログメッセージの送信元インターフェースを指定するには:

    [H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER

    • たとえば、VLAN インターフェース 1 を送信元として使用するには:

      [H3C] info-center loghost source vlan-interface 1

ログホストへのデフォルトのログ出力を無効にする

  • デフォルトでは、システムはすべてのモジュールの情報をログホストに出力します。ログを送信するモジュールを制御するには、まずデフォルトの出力を無効にします。

    [H3C] undo info-center source default loghost

ログ出力ルールを構成する

ログホストにログを送信するモジュールと重大度レベルを構成します。システム情報は、0 ~ 7 の 8 つの重大度レベルに分類され、降順で表示されます。スイッチは、指定されたレベル以上の重大度レベルのシステム情報を出力します。たとえば、重大度値が 6(情報)の出力ルールを構成すると、重大度値が 0 ~ 6 の情報が出力されます。

  • 重大度レベル(0 ~ 7):

    • 0: 緊急事態
    • 1: アラート
    • 2: 重大
    • 3: エラー
    • 4: 警告
    • 5: 通知
    • 6: 情報
    • 7: デバッグ

  • すべてのモジュールのログ出力を情報レベル以上に構成するには:

    [H3C] info-center source default loghost level informational

  • 特定のモジュール(ARP や IP など)のログ出力を構成するには:

    [H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

  • 使用可能なソース モジュールを表示するには、次のコマンドを使用します。

    [H3C] info-center source ?

設定を保存する

  1. 再起動後も構成が保持されるように保存します。

    [H3C] save

  2. プロンプトが表示されたら、「Y」と入力して確定します。

構成を確認する

  • 情報センターの構成を確認するには、次のコマンドを使用します。

    [H3C] display info-center

このコマンドは、ログホストの設定、出力ルール、チャネル構成など、現在の情報センターの構成を表示します。

構成の完全な例

  • 次の例は、すべてのモジュールから情報レベル以上のログを 192.168.1.100 のログホストに送信するための完全な構成を示しています。

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

特定のモジュールの構成例

  • 次の例は、情報レベルの ARP モジュールと IP モジュールのログをログホストに送信する構成を示しています。

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
extensions.auth.type イベントで使用される認証タイプ
hostname intermediary.asset.hostname 仲介業者に関連付けられているアセットのホスト名
hostname intermediary.hostname 仲介エンティティのホスト名
inter_ip intermediary.asset.ip 仲介業者に関連付けられているアセットの IP アドレス
inter_ip intermediary.ip 仲介エンティティの IP アドレス
IPAddr、prin_ip principal.asset.ip プリンシパルに関連付けられたアセットの IP アドレス
IPAddr、prin_ip principal.ip プリンシパル エンティティの IP アドレス
prin_port principal.port プリンシパルに関連付けられているポート番号
ユーザー、ユーザー principal.user.userid プリンシパルのユーザー ID
tar_host target.asset.hostname ターゲットに関連付けられているアセットのホスト名
tar_host target.hostname ターゲット エンティティのホスト名
tar_ip target.asset.ip ターゲットに関連付けられているアセットの IP アドレス
tar_ip target.ip ターゲット エンティティの IP アドレス
tar_port target.port ターゲットに関連付けられているポート番号
tar_user target.user.userid ターゲットのユーザー ID
Line、OperateType、OperateTime、OperateState、OperateEndTime、EventIndex、CommandSource、ConfigSource、ConfigDestination additional.fields 標準の UDM フィールドでカバーされていない追加のメタデータ フィールド
降順 metadata.description イベントの説明
timestamp metadata.event_timestamp イベントが発生したときのタイムスタンプ
metadata.event_type イベントのタイプ(USER_LOGIN、NETWORK_CONNECTION)
event_type metadata.product_event_type プロダクト固有のイベントタイプ識別子
metadata.product_name イベントを生成したサービスの名前
metadata.vendor_name 商品のベンダー名

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。