收集 HPE BladeSystem c7000 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 HPE BladeSystem c7000 日志注入到 Google Security Operations。
HPE BladeSystem c7000 是一种刀片式服务器机箱,可针对硬件事件、组件状态变化、配置变化和系统提醒生成 syslog 消息。解析器会从 syslog 格式的日志中提取字段,并将其映射到统一数据模型 (UDM)。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 HPE BladeSystem c7000 之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 HPE BladeSystem Onboard Administrator 或 StorageGRID Manager 的管理员访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hpe_bladesystem_c7000: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HPE_BLADESYSTEM_C7000 raw_log_field: body service: pipelines: logs/hpe_bladesystem_c7000_to_chronicle: receivers: - udplog exporters: - chronicle/hpe_bladesystem_c7000
配置参数
替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0侦听所有接口(推荐)- 端口
514是标准 syslog 端口(在 Linux 上需要 root 权限;对于非 root 用户,请使用1514)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:从 Google SecOps 控制台复制的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
直接在 HPE BladeSystem 中配置 syslog
- 登录 BladeSystem 界面。
- 依次前往配置 > 系统日志。
- 点击日志选项标签页。
- 选中启用远程系统日志记录复选框。
- 提供以下配置详细信息:
- Syslog 服务器地址:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号(默认端口为
514)。 - 协议:协议始终为 UDP。
- 点击 Test Remote Log 并验证是否已收到日志。
- 点击应用进行保存。
在 StorageGRID 软件中配置 syslog
您可以配置 StorageGRID 中的审核消息级别,并设置外部 syslog 服务器以转发这些消息。
配置 StorageGRID 审核消息级别
- 登录 GRID Manager 网页界面。
- 依次前往配置 > 监控 > 审核和 syslog 服务器。
- 针对每种审核消息类别,从列表中选择正常审核级别。
- 点击保存。
配置 StorageGRID 外部 syslog 服务器
- 在审核和 Syslog 服务器页面上,点击配置外部 Syslog 服务器。
- 提供以下配置详细信息:
- 输入 Bindplane 代理 IP 地址。
- 输入 Bindplane 代理端口号(默认端口为
514)。 - 根据您的 Bindplane 代理配置,选择 UDP 或 TCP 协议。
- 点击继续。
配置 syslog 事件
- 在向导的管理 syslog 内容步骤中,选择要发送到外部 syslog 服务器的每种审核信息:
- 发送审核日志
- 发送安全事件
- 发送应用日志
- 发送访问日志
- 对于严重程度,请选择直通或 7(信息)。
- 对于功能,选择直通。
- 点击继续。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
command |
principal.process.command_line |
直接从原始日志字段“command”映射。 |
component |
metadata.product_event_type |
直接从原始日志字段“component”映射。 |
component_name |
additional.fields[0].value.string_value |
直接从原始日志字段“component_name”映射。 |
description |
security_result.description |
直接从原始日志字段“description”映射而来,经过可选的 grok 解析。 |
description |
security_result.detection_fields[0].value |
使用 grok 模式从“说明”字段中提取。表示当前状态。 |
description |
security_result.detection_fields[1].value |
使用 grok 模式从“说明”字段中提取。表示之前的状态。 |
description |
security_result.detection_fields[2].value |
使用 grok 模式从“说明”字段中提取。表示状态变化的原因。 |
event_timestamp |
metadata.event_timestamp |
在解析日期后,直接从原始日志字段“event_timestamp”映射。 |
hostname |
principal.hostname |
直接从原始日志字段“hostname”映射。 |
hostname |
principal.asset.hostname |
从映射的“principal.hostname”字段复制。 |
internal_code |
additional.fields[1].value.string_value |
直接从原始日志字段“internal_code”映射。 |
priority_id |
additional.fields[2].value.string_value |
直接从原始日志字段“priority_id”映射。 |
additional.fields[0].key |
静态值:“组件名称”。 | |
additional.fields[1].key |
静态价值:“内部代码”。 | |
additional.fields[2].key |
静态价值:“优先级 ID”。 | |
metadata.event_type |
如果成功提取“principal.hostname”,则设置为“STATUS_UPDATE”,否则设置为“GENERIC_EVENT”。 | |
metadata.vendor_name |
静态值:“HP”。 | |
metadata.product_name |
静态值:“HPE BladeSystem c7000”。 | |
metadata.log_type |
静态值:“HPE_BLADESYSTEM_C7000”。 | |
security_result.severity |
根据以下逻辑从“严重程度”字段映射而来:-“严重”->“CRITICAL”-“主要”->“HIGH”-“警告”->“MEDIUM”-“信息”“次要”->“LOW”- 默认 - >“UNKNOWN_SEVERITY” | |
security_result.detection_fields[0].key |
静态值:“当前状态”。 | |
security_result.detection_fields[1].key |
静态值:“上一个状态”。 | |
security_result.detection_fields[2].key |
静态价值:“原因”。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。