H3C Comware 플랫폼 스위치 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 H3C Comware Platform Switch 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

H3C Comware 플랫폼 스위치는 Comware 운영체제를 통해 레이어 2 및 레이어 3 스위칭 기능, 고급 보안 기능, 포괄적인 네트워크 관리를 제공하는 엔터프라이즈급 네트워크 스위치입니다. 스위치는 정보 센터 기능을 통해 네트워크 운영, 보안 이벤트, 시스템 진단을 모니터링하기 위한 광범위한 로깅 기능을 지원합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Windows Server 2016 이상 또는 systemd가 설치된 Linux 호스트
  • Bindplane 에이전트와 H3C Comware Platform Switch 간 네트워크 연결
  • 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
  • 콘솔, 텔넷 또는 SSH를 통한 H3C Comware 플랫폼 스위치 관리 콘솔에 대한 액세스 권한
  • 정보 센터 기능이 사용 설정된 H3C Comware 플랫폼 스위치 (기본적으로 사용 설정됨)

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 설치가 완료될 때까지 기다립니다.

  4. 다음을 실행하여 설치를 확인합니다.

    sc query observiq-otel-collector

서비스가 실행 중으로 표시되어야 합니다.

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 설치가 완료될 때까지 기다립니다.

  4. 다음을 실행하여 설치를 확인합니다.

    sudo systemctl status observiq-otel-collector

서비스가 active (running)으로 표시되어야 합니다.

추가 설치 리소스

추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.

syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일 찾기

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

구성 파일 설정

  • config.yaml의 전체 내용을 다음 구성으로 바꿉니다.

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/h3c_switch:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: H3C_SWITCH
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/h3c_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/h3c_switch

구성 매개변수

  • 다음 자리표시자를 바꿉니다.

    • 수신기 구성:

      • listen_address: UDP 포트 51의 모든 인터페이스에서 수신하려면 0.0.0.0:514로 설정합니다. Linux에서 루트가 아닌 사용자로 실행하는 경우 1514와 같은 다른 포트를 사용할 수 있습니다.

    • 내보내기 도구 구성:

      • creds_file_path: 수집 인증 파일의 전체 경로입니다.
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • customer_id: YOUR_CUSTOMER_ID을 이전 단계의 고객 ID로 바꿉니다.
      • endpoint: 리전 엔드포인트 URL:
        • 미국: malachiteingestion-pa.googleapis.com
        • 유럽: europe-malachiteingestion-pa.googleapis.com
        • 아시아: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 전체 목록은 리전 엔드포인트를 참고하세요.
      • log_type: 표시된 대로 정확하게 H3C_SWITCH로 설정합니다.
      • ingestion_labels: YAML 형식의 선택적 라벨입니다 (예: env: production).

구성 파일 저장

수정 후 파일을 저장합니다.

  • Linux: Ctrl+O, Enter, Ctrl+X 순서로 누릅니다.
  • Windows: 파일 > 저장을 클릭합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart observiq-otel-collector

    1. 서비스가 실행 중인지 확인합니다.

        sudo systemctl status observiq-otel-collector

    2. 로그에서 오류를 확인합니다.

        sudo journalctl -u observiq-otel-collector -f

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.

    • 명령 프롬프트 또는 PowerShell(관리자 권한)

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 서비스 콘솔:

      1. Win+R를 누르고 services.msc를 입력한 다음 Enter 키를 누릅니다.
      2. observIQ OpenTelemetry Collector를 찾습니다.

      3. 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.

      4. 서비스가 실행 중인지 확인합니다.

        sc query observiq-otel-collector

      5. 로그에서 오류를 확인합니다.

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

H3C Comware 플랫폼 스위치 syslog 전달 구성

syslog 메시지를 Bindplane 에이전트로 보내도록 H3C Comware 플랫폼 스위치를 구성합니다.

스위치 CLI 액세스

  1. 다음 방법 중 하나를 사용하여 H3C Comware Platform Switch에 로그인합니다.
    • 콘솔 포트 연결
    • Telnet
    • SSH

  2. 다음 명령어를 입력하여 시스템 뷰를 입력합니다.

    <H3C> system-view

프롬프트가 [H3C]로 변경되어 시스템 뷰에 있음을 나타냅니다.

정보 센터가 사용 설정되어 있는지 확인

  • 정보 센터는 H3C Comware 플랫폼 스위치에서 기본적으로 사용 설정되어 있습니다. 정보 센터를 확인하거나 사용 설정하려면 다음 명령어를 입력합니다.

    [H3C] info-center enable

  • 정보 센터가 이미 사용 설정된 경우 시스템에 다음이 표시됩니다.

    Info: Information center is enabled.

타임스탬프 형식 구성 (선택사항)

  • 로그 호스트로 전송되는 시스템 정보의 기본 타임스탬프 형식은 날짜입니다. 타임스탬프 형식을 구성하려면 다음 명령어를 사용하세요.

    [H3C] info-center timestamp loghost date

  • 사용 가능한 타임스탬프 형식:

    • date: 형식은 'Mmm dd hh:mm:ss:ms yyyy'입니다(예: Dec 8 10:12:21:708 2012).
    • iso: ISO 8601 형식 (예: 2012-09-21T15:32:55)
    • no-year-date: 연도 없이 현재 시스템 날짜 및 시간
    • none: 타임스탬프 정보가 없음

로그 호스트 구성

  • Bindplane 에이전트 호스트를 로그 호스트로 지정합니다. facility 매개변수는 local0~local7로 설정할 수 있으며 기본값은 local7입니다.

    [H3C] info-center loghost BINDPLANE_AGENT_IP port 514 facility local7

    • BINDPLANE_AGENT_IP를 Bindplane 에이전트를 실행하는 호스트의 IP 주소로 바꿉니다.

      • 예를 들어 Bindplane 에이전트가 호스트 192.168.1.100에서 실행되는 경우:

        [H3C] info-center loghost 192.168.1.100 port 514 facility local7

      • 매개변수:

        • BINDPLANE_AGENT_IP: Bindplane 에이전트 호스트의 IP 주소
        • port 514: UDP 포트 번호 (Bindplane 에이전트에서 구성된 포트와 일치해야 함)
        • facility local7: Syslog 기능 (local0~local7이 유효하며 기본값은 local7임)

소스 인터페이스 구성 (선택사항)

  • info-center loghost source 명령어는 정보 센터가 info-center enable 명령어로 사용 설정된 후에만 적용됩니다. 로그 메시지의 소스 인터페이스를 지정하려면 다음을 따르세요.

    [H3C] info-center loghost source INTERFACE_TYPE INTERFACE_NUMBER

    • 예를 들어 VLAN 인터페이스 1을 소스로 사용하려면 다음을 실행합니다.

      [H3C] info-center loghost source vlan-interface 1

로그 호스트에 대한 기본 로그 출력 사용 중지

  • 기본적으로 시스템은 모든 모듈의 정보를 로그 호스트에 출력합니다. 로그를 전송하는 모듈을 제어하려면 먼저 기본 출력을 사용 중지하세요.

    [H3C] undo info-center source default loghost

로그 출력 규칙 구성

로그 호스트로 로그를 전송해야 하는 모듈과 심각도 수준을 구성합니다. 시스템 정보는 0부터 7까지 내림차순으로 8가지 심각도 수준으로 분류됩니다. 이 스위치는 심각도 수준이 지정된 수준 이상인 시스템 정보를 출력합니다. 예를 들어 심각도 값이 6 (정보)인 출력 규칙을 구성하면 심각도 값이 0~6인 정보가 출력됩니다.

  • 심각도 수준 (0~7):

    • 0: 긴급 상황
    • 1: 알림
    • 2: 심각
    • 3: 오류
    • 4: 경고
    • 5: 알림
    • 6: 정보 제공
    • 7: 디버깅

  • 모든 모듈의 로그 출력을 정보 수준 이상으로 구성하려면 다음을 실행하세요.

    [H3C] info-center source default loghost level informational

  • 특정 모듈 (예: ARP 및 IP)의 로그 출력을 구성하려면 다음을 실행하세요.

    [H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational

  • 사용 가능한 소스 모듈을 보려면 다음을 사용하세요.

    [H3C] info-center source ?

구성 저장하기

  1. 재부팅 후에도 구성이 유지되도록 저장합니다.

    [H3C] save

  2. 메시지가 표시되면 Y를 입력하여 확인합니다.

구성 확인

  • 정보 센터 구성을 확인하려면 다음 명령어를 사용하세요.

    [H3C] display info-center

이 명령어는 로그 호스트 설정, 출력 규칙, 채널 구성을 비롯한 현재 정보 센터 구성을 표시합니다.

전체 구성 예시

  • 다음 예에서는 정보 수준 이상의 모든 모듈에서 192.168.1.100의 로그 호스트로 로그를 전송하는 전체 구성을 보여줍니다.

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center timestamp loghost date
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source default loghost level informational
[H3C] save

특정 모듈의 구성 예

  • 다음 예에서는 정보 수준에서 로그 호스트로 ARP 및 IP 모듈 로그를 전송하기 위한 구성을 보여줍니다.

    <H3C> system-view
[H3C] info-center enable
[H3C] info-center loghost 192.168.1.100 port 514 facility local7
[H3C] undo info-center source default loghost
[H3C] info-center source arp loghost level informational
[H3C] info-center source ip loghost level informational
[H3C] save

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
extensions.auth.type 이벤트에 사용된 인증 유형
호스트 이름 intermediary.asset.hostname 중개인과 연결된 저작물의 호스트 이름
호스트 이름 intermediary.hostname 중개자 항목의 호스트 이름
inter_ip intermediary.asset.ip 중개인과 연결된 저작물의 IP 주소
inter_ip intermediary.ip 중개 기관의 IP 주소
IPAddr, prin_ip principal.asset.ip 주 구성원과 연결된 애셋의 IP 주소
IPAddr, prin_ip principal.ip 주체 엔티티의 IP 주소
prin_port principal.port 주 구성원과 연결된 포트 번호
사용자, 사용자 principal.user.userid 주체의 사용자 ID
tar_host target.asset.hostname 타겟과 연결된 애셋의 호스트 이름
tar_host target.hostname 타겟 항목의 호스트 이름
tar_ip target.asset.ip 타겟과 연결된 애셋의 IP 주소
tar_ip target.ip 타겟 엔티티의 IP 주소
tar_port target.port 타겟과 연결된 포트 번호
tar_user target.user.userid 타겟의 사용자 ID
Line, OperateType, OperateTime, OperateState, OperateEndTime, EventIndex, CommandSource, ConfigSource, ConfigDestination additional.fields 표준 UDM 필드에 포함되지 않는 추가 메타데이터 필드
내림차순 metadata.description 이벤트의 설명
타임스탬프 metadata.event_timestamp 이벤트가 발생한 시점의 타임스탬프
metadata.event_type 이벤트 유형 (예: USER_LOGIN, NETWORK_CONNECTION)
event_type metadata.product_event_type 제품별 이벤트 유형 식별자
metadata.product_name 이벤트를 생성하는 제품의 이름
metadata.vendor_name 제품 공급업체 이름

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.