Mengumpulkan log Hitachi Content Platform

Didukung di:

Dokumen ini menjelaskan cara menyerap log Hitachi Content Platform ke Google Security Operations menggunakan Bindplane.

Hitachi Content Platform (HCP) adalah sistem penyimpanan objek terdistribusi yang dirancang untuk mendukung repositori data konten tetap yang besar dan terus bertambah. HCP menyediakan penyimpanan yang aman dengan fitur yang mencakup perlindungan data, retensi kepatuhan, pembuatan versi, dan akses multi-protokol melalui REST API, NFS, CIFS, dan WebDAV. Platform ini mendukung multi-tenancy dengan isolasi namespace dan mencakup kemampuan pemantauan dan logging sistem yang komprehensif.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan Hitachi Content Platform
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akun pengguna tingkat sistem dengan peran administrator atau keamanan di HCP. Peran pemantau atau kepatuhan dapat melihat halaman Syslog, tetapi tidak dapat mengonfigurasi logging syslog atau menguji koneksi
  • Akses ke Konsol Pengelolaan Sistem HCP

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/hcp:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: HITACHI_CLOUD_PLATFORM
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/hcp_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/hcp

Parameter konfigurasi

Ganti placeholder berikut:

  • Konfigurasi penerima:

    • Penerima dikonfigurasi sebagai udplog untuk memproses pesan syslog UDP di port 514.
    • listen_address: "0.0.0.0:514" memproses semua antarmuka di port 51. Jika port 514 memerlukan hak istimewa root di Linux, gunakan port 1514 sebagai gantinya dan konfigurasi HCP untuk mengirim ke port tersebut.

  • Konfigurasi eksportir:

    • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id: Ganti YOUR_CUSTOMER_ID dengan ID pelanggan dari langkah sebelumnya.
    • endpoint: URL endpoint regional:
      • Amerika Serikat: malachiteingestion-pa.googleapis.com
      • Eropa: europe-malachiteingestion-pa.googleapis.com
      • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
      • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
    • log_type: Tetapkan ke HITACHI_CLOUD_PLATFORM persis seperti yang ditunjukkan.
    • ingestion_labels: Label opsional dalam format YAML (misalnya, env: production).

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

        sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

        sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Hitachi Content Platform

  1. Login ke HCP System Management Console menggunakan akun dengan peran administrator atau keamanan.
  2. Di menu tingkat teratas, pilih Monitoring > Syslog.
  3. Di kolom Syslog Server IP Addresses, masukkan alamat IP host agen Bindplane, yang secara opsional diikuti dengan titik dua dan nomor port (misalnya, 192.168.1.100:514 atau 192.168.1.100:1514). Jika Anda tidak memasukkan nomor port, HCP akan menggunakan port 514 secara default.
  4. Klik Tambahkan. Alamat IP yang ditentukan akan berpindah ke daftar di bawah kolom.
  5. Di kolom Kirim pesan log pada tingkat ini atau yang lebih tinggi, pilih tingkat keparahan pesan yang akan dikirim ke server syslog:
    • PEMBERITAHUAN: Mengirim pesan dengan tingkat keparahan Pemberitahuan, Peringatan, atau Error.
    • PERINGATAN: Mengirim pesan dengan tingkat keparahan Peringatan atau Error.
    • ERROR: Hanya mengirim pesan dengan tingkat keparahan Error.
  6. Di kolom HTTP access Facility, pilih fasilitas lokal syslog yang akan mengarahkan pesan log akses HTTP. Opsinya adalah local0 hingga local7.
  7. Untuk menyertakan pesan log tentang peristiwa akses data berbasis HTTP, pilih Kirim pesan log untuk permintaan akses data berbasis HTTP.
  8. Di kolom MAPI access Facility, pilih fasilitas lokal syslog yang akan mengarahkan pesan log Management API. Opsinya adalah local0 hingga local7.
  9. Untuk menyertakan pesan log tentang peristiwa permintaan Management API, pilih Kirim pesan log untuk permintaan Management API.
  10. Untuk menyertakan pesan log tentang peristiwa keamanan (upaya untuk login ke Konsol Pengelolaan Sistem dengan nama pengguna yang tidak valid), pilih opsi untuk mengirim peristiwa keamanan jika tersedia.
  11. Klik Perbarui Setelan untuk menyimpan konfigurasi.

  12. Untuk menguji koneksi, klik Uji di halaman Syslog. HCP mengirim pesan pengujian dengan tingkat keparahan Pemberitahuan ke server syslog. Periksa log agen Bindplane untuk memverifikasi bahwa pesan telah diterima.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
host_name intermediary.hostname Nama host perangkat perantara
event_type metadata.event_type Jenis acara (misalnya, USER_LOGIN, NETWORK_CONNECTION)
product_event metadata.product_event_type Jenis peristiwa khusus produk
network.application_protocol Protokol aplikasi yang digunakan (misalnya, HTTP, HTTPS)
http_method network.http.method Metode HTTP (misalnya, GET, POST)
url network.http.referral_url URL perujuk untuk permintaan HTTP
response_code network.http.response_code Kode respons HTTP
src_ip principal.ip Alamat IP sumber koneksi
metadata.product_name Nama produk
metadata.vendor_name Nama vendor/perusahaan

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.