收集 Hitachi Content Platform 日志

本文档介绍了如何使用 Bindplane 将 Hitachi Content Platform 日志注入到 Google Security Operations。

Hitachi Content Platform (HCP) 是一种分布式对象存储系统，旨在支持不断增长的大型固定内容数据存储库。HCP 提供安全存储，其功能包括数据保护、合规性保留、版本控制和通过 REST API、NFS、CIFS 和 WebDAV 进行的多协议访问。该平台支持通过命名空间隔离实现多租户，并包含全面的系统监控和日志记录功能。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
• Bindplane 代理与 Hitachi Content Platform 之间的网络连接
• 如果在代理后面运行，请确保防火墙端口根据 Bindplane 代理要求处于开放状态
• 在 HCP 中具有管理员或安全角色的系统级用户账号。监控角色或合规性角色可以查看“Syslog”页面，但无法配置 syslog 日志记录或测试连接
• 访问 HCP 系统管理控制台

获取 Google SecOps 注入身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。
3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 配置文件。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安装完成。

4. 运行以下命令来验证安装：

   sc query observiq-otel-collector
   

该服务应显示为 RUNNING。

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安装完成。

4. 运行以下命令来验证安装：

   sudo systemctl status observiq-otel-collector
   

该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

修改配置文件

• 将 config.yaml 的全部内容替换为以下配置：

  receivers:
    udplog:
      listen_address: "0.0.0.0:514"
  
  exporters:
    chronicle/hcp:
      compression: gzip
      creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
      customer_id: 'YOUR_CUSTOMER_ID'
      endpoint: malachiteingestion-pa.googleapis.com
      log_type: HITACHI_CLOUD_PLATFORM
      raw_log_field: body
      ingestion_labels:
        env: production
  
  service:
    pipelines:
      logs/hcp_to_chronicle:
        receivers:
          - udplog
        exporters:
          - chronicle/hcp
  

配置参数

替换以下占位符：

• 接收器配置：

  • 接收器配置为 udplog，以监听端口 514 上的 UDP Syslog 消息。
  • listen_address: "0.0.0.0:514" 在端口 51 上监听所有接口。如果端口 514 在 Linux 上需要 root 权限，请改用端口 1514，并将 HCP 配置为发送到该端口。

• 导出器配置：

  • creds_file_path：提取身份验证文件的完整路径：
    • Linux：/etc/bindplane-agent/ingestion-auth.json
    • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id：将 YOUR_CUSTOMER_ID 替换为上一步中的客户 ID。
  • endpoint：区域端点网址：
    • 美国：malachiteingestion-pa.googleapis.com
    • 欧洲：europe-malachiteingestion-pa.googleapis.com
    • 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    • 如需查看完整列表，请参阅区域级端点。
  • log_type：设置为 HITACHI_CLOUD_PLATFORM，与所示完全一致。
  • ingestion_labels：采用 YAML 格式的可选标签（例如 env: production）。

保存配置文件

修改后，保存文件：

• Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
• Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart observiq-otel-collector
  

  1. 验证服务是否正在运行：

       sudo systemctl status observiq-otel-collector
     

  2. 检查日志是否存在错误：

       sudo journalctl -u observiq-otel-collector -f
     

• 如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：

  • 以管理员身份运行命令提示符或 PowerShell：

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 服务控制台：

    1. 按 Win+R，输入 services.msc，然后按 Enter 键。
    2. 找到 observIQ OpenTelemetry 收集器。

    3. 右键点击并选择重新启动。

    4. 验证服务是否正在运行：

       sc query observiq-otel-collector
       

    5. 检查日志是否存在错误：

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

配置 Hitachi Content Platform syslog 转发

1. 使用具有管理员或安全角色的账号登录 HCP 系统管理控制台。
2. 在顶级菜单中，依次选择 Monitoring > Syslog。
3. 在 Syslog 服务器 IP 地址字段中，输入 Bindplane 代理主机 IP 地址，后面可以选择性地跟上英文冒号和端口号（例如 192.168.1.100:514 或 192.168.1.100:1514）。如果您省略端口号，HCP 会默认使用端口 514。
4. 点击添加。指定的 IP 地址会移至该字段下方的列表中。
5. 在发送此级别或更高级别的日志消息字段中，选择要发送到 syslog 服务器的消息的严重级别：
   • NOTICE：发送严重级别为“通知”“警告”或“错误”的消息。
   • WARNING：发送严重级别为“警告”或“错误”的消息。
   • ERROR：仅发送严重级别为“错误”的消息。
6. 在 HTTP 访问工具字段中，选择要将 HTTP 访问日志消息定向到的 syslog 本地工具。选项为 local0 到 local7。
7. 如需包含有关基于 HTTP 的数据访问事件的日志消息，请选择针对基于 HTTP 的数据访问请求发送日志消息。
8. 在 MAPI 访问功能字段中，选择要将管理 API 日志消息定向到的 syslog 本地功能。选项为 local0 到 local7。
9. 如需包含有关管理 API 请求事件的日志消息，请选择为管理 API 请求发送日志消息。
10. 如需包含有关安全事件（尝试使用无效的用户名登录系统管理控制台）的日志消息，请选择相应选项以发送安全事件（如有）。
11. 点击更新设置以保存配置。

12. 如需测试连接，请点击 Syslog 页面上的测试。HCP 向 syslog 服务器发送严重级别为“通知”的测试消息。检查 Bindplane 代理日志，验证是否收到了消息。

UDM 映射表

日志字段	UDM 映射	逻辑
host_name	intermediary.hostname	中间设备的 hostname
event_type	metadata.event_type	活动类型（例如，USER_LOGIN、NETWORK_CONNECTION）
product_event	metadata.product_event_type	特定于产品的事件类型
	network.application_protocol	使用的应用协议（例如，HTTP、HTTPS）
http_method	network.http.method	HTTP 方法（例如，GET、POST）
网址	network.http.referral_url	HTTP 请求的引荐来源网址
response_code	network.http.response_code	HTTP 响应代码
src_ip	principal.ip	连接的来源 IP 地址
	metadata.product_name	产品名称
	metadata.vendor_name	供应商/公司名称

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。