Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux HP Linux

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux du système d'exploitation HP-UX dans Google Security Operations à l'aide de l'agent Bindplane.

HP-UX est un système d'exploitation UNIX d'entreprise pour les serveurs HP Integrity et PA-RISC. Les journaux système HP-UX enregistrent les événements d'authentification, l'exécution des processus, les données d'audit de sécurité et l'activité générale du système. Les fichiers Syslog sont stockés en local sous /var/adm/syslog/.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur HP-UX
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié (root) au serveur HP-UX

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /opt/observiq-otel-collector/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/hp_linux:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: HP_LINUX
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/hpux_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/hp_linux

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- udplog : type de récepteur basé sur le protocole :
  - udplog pour le syslog UDP
  - tcplog pour syslog TCP
- 0.0.0.0 : adresse IP à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Adresse IP spécifique à écouter sur une interface
- 514 : numéro de port à écouter (par exemple, 514, 1514, 6514)
Configuration de l'exportateur :
- hp_linux : nom descriptif de l'exportateur.
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id> : ID client de l'étape précédente
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- HP_LINUX : type de journal tel qu'il apparaît dans Chronicle
- ingestion_labels : libellés facultatifs au format YAML (par exemple, env: production)
Configuration du pipeline :
- hpux_to_chronicle : nom descriptif du pipeline.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog HP-UX

Connectez-vous au serveur HP-UX avec les droits racine.
Modifiez le fichier de configuration syslog :
```
vi /etc/syslog.conf
```
Ajoutez la ligne suivante pour transférer tous les messages syslog à l'agent Bindplane :
```
*.* @<BINDPLANE_AGENT_IP>
```
- Remplacez <BINDPLANE_AGENT_IP> par l'adresse IP de l'hôte de l'agent Bindplane.
- Le préfixe @ envoie les journaux via UDP. HP-UX syslog utilise UDP par défaut.
Pour transférer uniquement des établissements spécifiques, utilisez des lignes individuelles :
```
auth.*  @<BINDPLANE_AGENT_IP>
kern.*  @<BINDPLANE_AGENT_IP>
*.err   @<BINDPLANE_AGENT_IP>
```
Enregistrez et fermez le fichier.
Redémarrez le daemon syslog pour appliquer les modifications :
```
/sbin/init.d/syslogd stop
/sbin/init.d/syslogd start
```
Vérifiez que les messages syslog sont reçus en consultant les journaux de l'agent Bindplane.

Remarque : HP-UX stocke les données syslog dans des fichiers tels que /var/adm/syslog/syslog.log, /var/adm/syslog/mail.log et les fichiers journaux permutés sous /var/adm/syslog/. Les fichiers /var/adm/btmp et /var/adm/wtmp capturent respectivement les tentatives de connexion infructueuses et les enregistrements de connexion/déconnexion.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`audit_type_label`	`additional.fields`	Fusionné
`auth_failures_label`	`additional.fields`	Fusionné
`ctladdr_label`	`additional.fields`	Fusionné
`da_instance_label`	`additional.fields`	Fusionné
`delay_label`	`additional.fields`	Fusionné
`dsn_label`	`additional.fields`	Fusionné
`event_code_label`	`additional.fields`	Fusionné
`mailer_label`	`additional.fields`	Fusionné
`msg_id_label`	`additional.fields`	Fusionné
`pri_label`	`additional.fields`	Fusionné
`raw_severity_label`	`additional.fields`	Fusionné
`ssh_version_label`	`additional.fields`	Fusionné
`stat_label`	`additional.fields`	Fusionné
`suite_label`	`additional.fields`	Fusionné
`syslog_priority_label`	`additional.fields`	Fusionné
`to_label`	`additional.fields`	Fusionné
`tty_label`	`additional.fields`	Fusionné
`xdelay_label`	`additional.fields`	Fusionné
`process`	`extensions.auth.type`	Mappé : `"sshd", "login"` → `AUTHTYPE_UNSPECIFIED`
`msg`	`metadata.description`	Mappé directement
`ts`	`metadata.event_timestamp`	Analysé en tant que `MMM d HH:mm:ss`
`utc`	`metadata.event_timestamp`	Analysé en tant que `UNIX_MS`
`event_type`	`metadata.event_type`	Mappé directement
`action_type`	`metadata.product_event_type`	Mappé directement
`centrifyEventID`	`metadata.product_log_id`	Mappé directement
`version`	`metadata.product_version`	Mappé directement
`message`	`network.application_protocol`	Mappé : `(?i)ssh` → `SSH`
`proto`	`network.ip_protocol`	Mappé : `tcp` → `TCP`
`DASessID`	`network.session_id`	Mappé directement
`process`	`principal.application`	Mappé directement
`host`	`principal.asset.hostname`	Mappé directement
`src_ip`	`principal.asset.ip`	Fusionné
`host`	`principal.hostname`	Mappé directement
`src_ip`	`principal.ip`	Fusionné
`src_port`	`principal.port`	Mappé directement
`p_id`	`principal.process.pid`	Mappé directement
`principal_user`	`principal.user.userid`	Mappé directement
`user`	`principal.user.userid`	Mappé directement
`security_result_action`	`security_result.action`	Fusionné
`ruleset`	`security_result.rule_name`	Mappé directement
`log_level`	`security_result.severity`	Mappé : `INFO` → `INFORMATIONAL`
`sev`	`security_result.severity`	Mappé : `(?i)ERROR` → `ERROR`
`log_level`	`security_result.severity_details`	Mappé directement
`t_domain`	`target.administrative_domain`	Mappé directement
`t_app`	`target.application`	Mappé directement
`t_hostname`	`target.asset.hostname`	Mappé directement
`target_hostname`	`target.asset.hostname`	Mappé directement
`t_hostname`	`target.hostname`	Mappé directement
`target_hostname`	`target.hostname`	Mappé directement
`target_user`	`target.user.userid`	Mappé directement
`user`	`target.user.userid`	Mappé directement
N/A	`extensions.auth.type`	Constante : `AUTHTYPE_UNSPECIFIED`
N/A	`metadata.product_name`	Constante : `HP Linux`
N/A	`metadata.vendor_name`	Constante : `HP Linux`
N/A	`network.application_protocol`	Constante : `SSH`
N/A	`network.ip_protocol`	Constante : `TCP`
N/A	`security_result.severity`	Constante : `INFORMATIONAL`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.