收集 Hitachi Content Platform 日志
支持:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Hitachi Content Platform 日志注入 Google Security Operations。
Hitachi Content Platform (HCP) 是一种分布式对象存储系统,旨在支持大型且不断增长的固定内容数据存储库。HCP 提供安全存储,其功能包括数据保护、合规性保留、版本控制以及通过 REST API、NFS、CIFS 和 WebDAV 进行的多协议访问。该平台支持具有命名空间隔离的多租户,并包含全面的系统监控和日志记录功能。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Hitachi Content Platform 之间的网络连接
- 如果通过代理运行,请确保防火墙端口根据 Bindplane 代理要求处于打开状态
- 在 HCP 中具有管理员或安全角色的系统级用户账号。监控或合规性角色可以查看 Syslog 页面,但无法配置 Syslog 日志记录或测试连接
- 访问 HCP 系统管理控制台的权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件 。将该文件安全地保存在将安装 Bindplane 的 系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 个人资料。
- 从组织详细信息 部分复制并保存客户 ID 。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符 或 PowerShell 。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为正在运行 。
Linux 安装
- 使用 root 或 sudo 权限打开终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为已启用(正在运行) 。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 Syslog 并发送到 Google SecOps
找到配置文件
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hcp: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: HITACHI_CLOUD_PLATFORM raw_log_field: body ingestion_labels: env: production service: pipelines: logs/hcp_to_chronicle: receivers: - udplog exporters: - chronicle/hcp
配置参数
替换以下占位符:
接收器配置:
- 接收器配置为
udplog,以监听端口 514 上的 UDP Syslog 消息。 listen_address: "0.0.0.0:514"监听端口 51 上的所有接口。如果端口 514 需要 Linux 上的 root 权限,请改用端口 1514 并配置 HCP 以发送到该端口。
- 接收器配置为
导出器配置:
creds_file_path:注入身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:将YOUR_CUSTOMER_ID替换为上一步中的客户 ID。endpoint:区域级端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点。
- 美国:
log_type:完全按照所示设置为HITACHI_CLOUD_PLATFORM。ingestion_labels:YAML 格式的可选标签(例如,env: production)。
保存配置文件
修改后,保存该文件:
- Linux:按
Ctrl+O,然后按Enter,再按Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务正在运行:
sudo systemctl status observiq-otel-collector查看日志以了解错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry Collector 。
右键点击并选择重启 。
验证服务正在运行:
sc query observiq-otel-collector查看日志以了解错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Hitachi Content Platform Syslog 转发
- 使用具有管理员或安全角色的账号登录 HCP 系统管理控制台 。
- 在顶级菜单中,依次选择监控 > Syslog。
- 在 Syslog 服务器 IP 地址 字段中,输入 Bindplane 代理主机 IP 地址,可以选择后跟冒号和端口号(例如,
192.168.1.100:514或192.168.1.100:1514)。如果您省略端口号,HCP 默认使用端口 514。 - 点击添加 。指定的 IP 地址会移到该字段下方的列表中。
- 在发送此级别或更高级别的日志消息 字段中,选择要发送到 Syslog 服务器的消息的严重级别:
- NOTICE:发送严重级别为 Notice、Warning 或 Error 的消息。
- WARNING:发送严重级别为 Warning 或 Error 的消息。
- ERROR:仅发送严重级别为 Error 的消息。
- 在 HTTP 访问设施 字段中,选择要将 HTTP 访问日志消息定向到的 Syslog 本地设施。选项包括 local0 到 local7 。
- 如需包含有关基于 HTTP 的数据访问事件的日志消息,请选择发送基于 HTTP 的数据访问请求的日志消息。
- 在 MAPI 访问设施 字段中,选择要将管理 API 日志消息定向到的 Syslog 本地设施。选项包括 local0 到 local7 。
- 如需包含有关管理 API 请求事件的日志消息,请选择发送管理 API 请求的日志消息 。
- 如需包含有关安全事件(尝试使用无效的用户名登录系统管理控制台)的日志消息,请选择发送安全事件的选项(如果可用)。
- 点击更新设置 以保存配置。
如需测试连接,请在 Syslog 页面上点击测试 。HCP 会向 Syslog 服务器发送严重级别为 Notice 的测试消息。检查 Bindplane 代理日志以验证是否收到了消息。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| host_name | intermediary.hostname | 中介设备的主机名 |
| event_type | metadata.event_type | 事件类型(例如,USER_LOGIN、NETWORK_CONNECTION) |
| product_event | metadata.product_event_type | 特定于产品的事件类型 |
| network.application_protocol | 使用的应用协议(例如,HTTP、HTTPS) | |
| http_method | network.http.method | HTTP 方法(例如,GET、POST) |
| url | network.http.referral_url | HTTP 请求的引荐来源网址 |
| response_code | network.http.response_code | HTTP 响应代码 |
| src_ip | principal.ip | 连接的来源 IP 地址 |
| metadata.product_name | 商品名称 | |
| metadata.vendor_name | 供应商/公司名称 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。