Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

HP Linux ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して HP-UX オペレーティングシステムのログを Google Security Operations に取り込む方法について説明します。

HP-UX は、HP Integrity サーバーと PA-RISC サーバー向けのエンタープライズ UNIX オペレーティングシステムです。HP-UX システムログは、認証イベント、プロセス実行、セキュリティ監査データ、一般的なシステムアクティビティをキャプチャします。Syslog ファイルは、/var/adm/syslog/ の下にローカルに保存されます。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと HP-UX サーバー間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
HP-UX サーバーへの特権（root）アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane をインストールするシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [active (running)] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/hp_linux:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: HP_LINUX
        raw_log_field: body
        ingestion_labels:
            env: production

service:
    pipelines:
        logs/hpux_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/hp_linux

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- udplog: プロトコルに基づく受信者のタイプ:
  - UDP Syslog の udplog
  - TCP Syslog の tcplog
- 0.0.0.0: リッスンする IP アドレス:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - 1 つのインターフェースでリッスンする特定の IP アドレス
- 514: リッスンするポート番号（514、1514、6514 など）
エクスポータの構成:
- hp_linux: エクスポータのわかりやすい名前
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- <customer_id>: 前の手順の顧客 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。
- HP_LINUX: Chronicle に表示されるログタイプ
- ingestion_labels: YAML 形式の省略可能なラベル（例: env: production）
パイプラインの構成:
- hpux_to_chronicle: パイプラインのわかりやすい名前

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

HP-UX syslog 転送を構成する

ルート権限で HP-UX サーバーにログインします。
syslog 構成ファイルを編集します。
```
vi /etc/syslog.conf
```
次の行を追加して、すべての syslog メッセージを Bindplane エージェントに転送します。
```
*.* @<BINDPLANE_AGENT_IP>
```
- <BINDPLANE_AGENT_IP> は、Bindplane エージェントホストの IP アドレスに置き換えます。
- @ 接頭辞は UDP 経由でログを送信します。HP-UX syslog はデフォルトで UDP を使用します。

特定のファシリティのみを転送するには、個別の行を使用します。

auth.*  @<BINDPLANE_AGENT_IP>
kern.*  @<BINDPLANE_AGENT_IP>
*.err   @<BINDPLANE_AGENT_IP>

ファイルを保存して閉じます。
syslog デーモンを再起動して変更を適用します。
```
/sbin/init.d/syslogd stop
/sbin/init.d/syslogd start
```
Bindplane エージェントのログを確認して、syslog メッセージが受信されていることを確認します。

注: HP-UX は、syslog データを /var/adm/syslog/syslog.log、/var/adm/syslog/mail.log などのファイルや、/var/adm/syslog/ 配下のローテーションされたログファイルに保存します。/var/adm/btmp ファイルと /var/adm/wtmp ファイルは、それぞれログイン試行の失敗とログイン/ログアウトのレコードをキャプチャします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`audit_type_label`	`additional.fields`	統合済み
`auth_failures_label`	`additional.fields`	統合済み
`ctladdr_label`	`additional.fields`	統合済み
`da_instance_label`	`additional.fields`	統合済み
`delay_label`	`additional.fields`	統合済み
`dsn_label`	`additional.fields`	統合済み
`event_code_label`	`additional.fields`	統合済み
`mailer_label`	`additional.fields`	統合済み
`msg_id_label`	`additional.fields`	統合済み
`pri_label`	`additional.fields`	統合済み
`raw_severity_label`	`additional.fields`	統合済み
`ssh_version_label`	`additional.fields`	統合済み
`stat_label`	`additional.fields`	統合済み
`suite_label`	`additional.fields`	統合済み
`syslog_priority_label`	`additional.fields`	統合済み
`to_label`	`additional.fields`	統合済み
`tty_label`	`additional.fields`	統合済み
`xdelay_label`	`additional.fields`	統合済み
`process`	`extensions.auth.type`	マッピング: `"sshd", "login"` → `AUTHTYPE_UNSPECIFIED`
`msg`	`metadata.description`	直接マッピングされます。
`ts`	`metadata.event_timestamp`	`MMM d HH:mm:ss` として解析されました
`utc`	`metadata.event_timestamp`	`UNIX_MS` として解析されました
`event_type`	`metadata.event_type`	直接マッピングされます。
`action_type`	`metadata.product_event_type`	直接マッピングされます。
`centrifyEventID`	`metadata.product_log_id`	直接マッピングされます。
`version`	`metadata.product_version`	直接マッピングされます。
`message`	`network.application_protocol`	マッピング: `(?i)ssh` → `SSH`
`proto`	`network.ip_protocol`	マッピング: `tcp` → `TCP`
`DASessID`	`network.session_id`	直接マッピングされます。
`process`	`principal.application`	直接マッピングされます。
`host`	`principal.asset.hostname`	直接マッピングされます。
`src_ip`	`principal.asset.ip`	統合済み
`host`	`principal.hostname`	直接マッピングされます。
`src_ip`	`principal.ip`	統合済み
`src_port`	`principal.port`	直接マッピングされます。
`p_id`	`principal.process.pid`	直接マッピングされます。
`principal_user`	`principal.user.userid`	直接マッピングされます。
`user`	`principal.user.userid`	直接マッピングされます。
`security_result_action`	`security_result.action`	統合済み
`ruleset`	`security_result.rule_name`	直接マッピングされます。
`log_level`	`security_result.severity`	マッピング: `INFO` → `INFORMATIONAL`
`sev`	`security_result.severity`	マッピング: `(?i)ERROR` → `ERROR`
`log_level`	`security_result.severity_details`	直接マッピングされます。
`t_domain`	`target.administrative_domain`	直接マッピングされます。
`t_app`	`target.application`	直接マッピングされます。
`t_hostname`	`target.asset.hostname`	直接マッピングされます。
`target_hostname`	`target.asset.hostname`	直接マッピングされます。
`t_hostname`	`target.hostname`	直接マッピングされます。
`target_hostname`	`target.hostname`	直接マッピングされます。
`target_user`	`target.user.userid`	直接マッピングされます。
`user`	`target.user.userid`	直接マッピングされます。
なし	`extensions.auth.type`	定数: `AUTHTYPE_UNSPECIFIED`
なし	`metadata.product_name`	定数: `HP Linux`
なし	`metadata.vendor_name`	定数: `HP Linux`
なし	`network.application_protocol`	定数: `SSH`
なし	`network.ip_protocol`	定数: `TCP`
なし	`security_result.severity`	定数: `INFORMATIONAL`

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。