Hitachi Content Platform のログを収集する
このドキュメントでは、Bindplane を使用して Hitachi Content Platform のログを Google Security Operations に取り込む方法について説明します。
Hitachi Content Platform(HCP)は、固定コンテンツ データの大規模で増え続けるリポジトリをサポートするように設計された分散オブジェクト ストレージ システムです。HCP は、データ保護、コンプライアンス保持、バージョニング、REST API、NFS、CIFS、WebDAV を介したマルチプロトコル アクセスなどの機能を備えた安全な保管を提供します。このプラットフォームは、名前空間の分離によるマルチテナンシーをサポートし、包括的なシステム モニタリングとロギング機能を備えています。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Hitachi Content Platform 間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
- HCP で管理者ロールまたはセキュリティ ロールを持つシステムレベルのユーザー アカウント。モニターロールまたはコンプライアンス ロールでは、[Syslog] ページを表示できますが、syslog ロギングを構成したり、接続をテストしたりすることはできません。
- HCP システム管理コンソールへのアクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールする システムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスは active (running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hcp: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: HITACHI_CLOUD_PLATFORM raw_log_field: body ingestion_labels: env: production service: pipelines: logs/hcp_to_chronicle: receivers: - udplog exporters: - chronicle/hcp
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
- レシーバーは、ポート 514 で UDP syslog メッセージをリッスンするように
udplogとして構成されます。 listen_address: "0.0.0.0:514"は、ポート 51 のすべてのインターフェースでリッスンします。ポート 514 で Linux の root 権限が必要な場合は、代わりにポート 1514 を使用し、そのポートに送信するように HCP を構成します。
- レシーバーは、ポート 514 で UDP syslog メッセージをリッスンするように
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:YOUR_CUSTOMER_IDを前の手順のお客様 ID に置き換えます。endpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: 示されているとおりにHITACHI_CLOUD_PLATFORMに設定します。ingestion_labels: YAML 形式の省略可能なラベル(例:env: production)。
構成ファイルを保存する
編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [ファイル] > [保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を探します。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Hitachi Content Platform の syslog 転送を構成する
- 管理者ロールまたはセキュリティ ロールを持つアカウントを使用して、HCP システム管理コンソール にログインします。
- 最上位のメニューで、[モニタリング] > [Syslog] を選択します。
- [Syslog サーバーの IP アドレス] フィールドに、Bindplane エージェント ホストの IP アドレスを入力します。必要に応じて、コロンとポート番号(
192.168.1.100:514や192.168.1.100:1514など)を入力します。ポート番号を省略すると、HCP はデフォルトでポート 514 を使用します。 - [追加] をクリックします。指定した IP アドレスがフィールドの下のリストに移動します。
- [このレベル以上のログ メッセージを送信する] フィールドで、syslog サーバーに送信するメッセージの重大度レベルを選択します。
- NOTICE: 通知、警告、エラーの重大度レベルのメッセージを送信します。
- WARNING: 警告またはエラーの重大度レベルのメッセージを送信します。
- ERROR: エラーの重大度レベルのメッセージのみを送信します。
- [HTTP アクセス ファシリティ] フィールドで、HTTP アクセス ログ メッセージの転送先となる syslog ローカル ファシリティを選択します。オプションは local0 から local7 です。
- HTTP ベースのデータアクセス イベントに関するログ メッセージを含めるには、[HTTP ベースのデータアクセス リクエストのログ メッセージを送信する] を選択します。
- [MAPI アクセス ファシリティ] フィールドで、管理 API ログ メッセージの転送先となる syslog ローカル ファシリティを選択します。オプションは local0 から local7 です。
- 管理 API リクエスト イベントに関するログ メッセージを含めるには、[管理 API リクエストのログ メッセージを送信する] を選択します。
- セキュリティ イベント(無効なユーザー名でシステム管理コンソールにログインしようとした場合)に関するログ メッセージを含めるには、セキュリティ イベントを送信するオプションを選択します(使用可能な場合)。
- [設定を更新] をクリックして構成を保存します。
接続をテストするには、[Syslog] ページの [テスト] をクリックします。HCP は、重大度レベルが通知のテスト メッセージを syslog サーバーに送信します。Bindplane エージェントのログを調べて、メッセージが受信されたことを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| host_name | intermediary.hostname | 仲介デバイスのホスト名 |
| event_type | metadata.event_type | イベントのタイプ(USER_LOGIN、NETWORK_CONNECTION など) |
| product_event | metadata.product_event_type | プロダクト固有のイベントタイプ |
| network.application_protocol | 使用されるアプリケーション プロトコル(HTTP、HTTPS など) | |
| http_method | network.http.method | HTTP メソッド(GET、POST など) |
| URL | network.http.referral_url | HTTP リクエストのリファラー URL |
| response_code | network.http.response_code | HTTP レスポンス コード |
| src_ip | principal.ip | 接続の送信元 IP アドレス |
| metadata.product_name | 商品名 | |
| metadata.vendor_name | ベンダー/会社名 |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。