Raccogliere i log di HP Linux
Questo documento spiega come importare i log del sistema operativo HP-UX in Google Security Operations utilizzando l'agente Bindplane.
HP-UX è un sistema operativo UNIX aziendale per i server HP Integrity e PA-RISC. I log di sistema HP-UX acquisiscono eventi di autenticazione, esecuzione dei processi, dati di controllo della sicurezza e attività di sistema generali. I file Syslog vengono archiviati localmente in /var/adm/syslog/.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server HP-UX
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi (root) al server HP-UX
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hp_linux: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HP_LINUX raw_log_field: body ingestion_labels: env: production service: pipelines: logs/hpux_to_chronicle: receivers: - udplog exporters: - chronicle/hp_linux
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
udplog: Il tipo di ricevitore in base al protocollo:udplogper syslog UDPtcplogper TCP syslog
0.0.0.0: Indirizzo IP su cui ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- Indirizzo IP specifico da ascoltare su un'interfaccia
514: numero di porta su cui ascoltare (ad esempio,514,1514,6514)
Configurazione dell'esportatore:
hp_linux: Nome descrittivo per l'esportatorecreds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<customer_id>: l'ID cliente del passaggio precedenteendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
HP_LINUX: Tipo di log esattamente come appare in Chronicleingestion_labels: Etichette facoltative in formato YAML (ad esempio,env: production)
Configurazione della pipeline:
hpux_to_chronicle: Nome descrittivo della pipeline
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configurare l'inoltro di syslog HP-UX
- Accedi al server HP-UX con privilegi di root.
Modifica il file di configurazione di syslog:
vi /etc/syslog.confAggiungi la seguente riga per inoltrare tutti i messaggi syslog all'agente Bindplane:
*.* @<BINDPLANE_AGENT_IP>- Sostituisci
<BINDPLANE_AGENT_IP>con l'indirizzo IP dell'host dell'agente Bindplane. - Il prefisso
@invia i log tramite UDP. syslog HP-UX utilizza UDP per impostazione predefinita.
- Sostituisci
Per inoltrare solo strutture specifiche, utilizza singole righe:
auth.* @<BINDPLANE_AGENT_IP> kern.* @<BINDPLANE_AGENT_IP> *.err @<BINDPLANE_AGENT_IP>Salva e chiudi il file.
Riavvia il daemon syslog per applicare le modifiche:
/sbin/init.d/syslogd stop /sbin/init.d/syslogd startVerifica che i messaggi syslog vengano ricevuti controllando i log dell'agente Bindplane.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
audit_type_label |
additional.fields |
Unita |
auth_failures_label |
additional.fields |
Unita |
ctladdr_label |
additional.fields |
Unita |
da_instance_label |
additional.fields |
Unita |
delay_label |
additional.fields |
Unita |
dsn_label |
additional.fields |
Unita |
event_code_label |
additional.fields |
Unita |
mailer_label |
additional.fields |
Unita |
msg_id_label |
additional.fields |
Unita |
pri_label |
additional.fields |
Unita |
raw_severity_label |
additional.fields |
Unita |
ssh_version_label |
additional.fields |
Unita |
stat_label |
additional.fields |
Unita |
suite_label |
additional.fields |
Unita |
syslog_priority_label |
additional.fields |
Unita |
to_label |
additional.fields |
Unita |
tty_label |
additional.fields |
Unita |
xdelay_label |
additional.fields |
Unita |
process |
extensions.auth.type |
Mappato: "sshd", "login" → AUTHTYPE_UNSPECIFIED |
msg |
metadata.description |
Mappato direttamente |
ts |
metadata.event_timestamp |
Analizzato come MMM d HH:mm:ss |
utc |
metadata.event_timestamp |
Analizzato come UNIX_MS |
event_type |
metadata.event_type |
Mappato direttamente |
action_type |
metadata.product_event_type |
Mappato direttamente |
centrifyEventID |
metadata.product_log_id |
Mappato direttamente |
version |
metadata.product_version |
Mappato direttamente |
message |
network.application_protocol |
Mappato: (?i)ssh → SSH |
proto |
network.ip_protocol |
Mappato: tcp → TCP |
DASessID |
network.session_id |
Mappato direttamente |
process |
principal.application |
Mappato direttamente |
host |
principal.asset.hostname |
Mappato direttamente |
src_ip |
principal.asset.ip |
Unita |
host |
principal.hostname |
Mappato direttamente |
src_ip |
principal.ip |
Unita |
src_port |
principal.port |
Mappato direttamente |
p_id |
principal.process.pid |
Mappato direttamente |
principal_user |
principal.user.userid |
Mappato direttamente |
user |
principal.user.userid |
Mappato direttamente |
security_result_action |
security_result.action |
Unita |
ruleset |
security_result.rule_name |
Mappato direttamente |
log_level |
security_result.severity |
Mappato: INFO → INFORMATIONAL |
sev |
security_result.severity |
Mappato: (?i)ERROR → ERROR |
log_level |
security_result.severity_details |
Mappato direttamente |
t_domain |
target.administrative_domain |
Mappato direttamente |
t_app |
target.application |
Mappato direttamente |
t_hostname |
target.asset.hostname |
Mappato direttamente |
target_hostname |
target.asset.hostname |
Mappato direttamente |
t_hostname |
target.hostname |
Mappato direttamente |
target_hostname |
target.hostname |
Mappato direttamente |
target_user |
target.user.userid |
Mappato direttamente |
user |
target.user.userid |
Mappato direttamente |
| N/D | extensions.auth.type |
Costante: AUTHTYPE_UNSPECIFIED |
| N/D | metadata.product_name |
Costante: HP Linux |
| N/D | metadata.vendor_name |
Costante: HP Linux |
| N/D | network.application_protocol |
Costante: SSH |
| N/D | network.ip_protocol |
Costante: TCP |
| N/D | security_result.severity |
Costante: INFORMATIONAL |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.