Raccogliere i log di HPE iLO
Questo documento spiega come importare i log di HPE iLO in Google Security Operations utilizzando l'agente Bindplane.
HPE iLO (Integrated Lights-Out) è un processore di gestione dei server remoti che genera messaggi syslog per eventi hardware, tentativi di autenticazione, query DNS e modifiche dello stato del sistema. Il parser utilizza la corrispondenza di pattern JSON e grok per estrarre i campi dai formati di log di HP iLO e li mappa al modello UDM (Unified Data Model).
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e l'interfaccia di gestione di HPE iLO
- Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso con privilegi a HPE iLO
Recuperare il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione di importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.
Recuperare l'ID cliente di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installare l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse di installazione aggiuntive
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configurare l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individuare il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modificare il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hpe_ilo: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HPE_ILO raw_log_field: body service: pipelines: logs/hpe_ilo_to_chronicle: receivers: - udplog exporters: - chronicle/hpe_ilo
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: indirizzo IP e porta su cui ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- La porta
514è la porta syslog standard (richiede la root su Linux; utilizza1514per la non root)
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione di importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente copiato dalla console Google SecOpsendpoint: URL dell'endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per l'elenco completo, consulta Endpoint regionali
- Stati Uniti:
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEnter, poiCtrl+X - Windows: fai clic su File > Salva
- Linux: premi
Riavviare l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per verificare la presenza di errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Servizi:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per verificare la presenza di errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configurare syslog in HPE iLO
- Accedi all'interfaccia utente web HPE iLO.
- Vai alla scheda Gestione > Syslog remoto.
- Fai clic su Attiva Syslog remoto iLO.
- Fornisci i seguenti dettagli di configurazione:
- Porta Syslog remoto: inserisci il numero di porta di Bindplane (ad esempio,
514). - Server Syslog remoto: inserisci l'indirizzo IP di Bindplane.
- Porta Syslog remoto: inserisci il numero di porta di Bindplane (ad esempio,
- Fai clic su Invia Syslog di test e verifica che sia stato ricevuto.
- Fai clic su Applica.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Funzione logica |
|---|---|---|
data |
Questo campo viene analizzato e mappato a vari campi UDM in base ai suoi contenuti. | |
data.HOSTNAME |
principal.hostname | Mappato quando il primo pattern grok nel campo "message" corrisponde o quando il campo "description" contiene "Host". Determina se event_type è STATUS_UPDATE. |
data.HOSTNAME |
network.dns.questions.name | Compilato dalla corrispondenza di pattern grok "DATA" in "message". Utilizzato per compilare dns.questions se non è vuoto e non contiene "(?i)not found". |
data.HOSTNAME |
target.user.user_display_name | Compilato dalla corrispondenza di pattern grok "DATA" in "message". |
data.IP |
target.ip | Compilato dai pattern grok che corrispondono a "IP" in "message" o "summary". |
data.WORD |
metadata.product_event_type | Compilato dalla corrispondenza di pattern grok "WORD" in "message". |
data.GREEDYDATA |
security_result.summary | Compilato dalla corrispondenza di pattern grok "GREEDYDATA" in "message". Utilizzato per determinare network.application_protocol e event_type in base ai suoi contenuti. |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | Compilato dal plug-in data in base a vari formati di timestamp. |
data.MONTHNUM |
Non mappato | |
data.MONTHDAY |
Non mappato | |
data.YEAR |
Non mappato | |
data.TIME |
Non mappato | |
data.HOST |
principal.hostname | Mappato quando il secondo pattern grok nel campo "message" corrisponde. |
data.INT |
Non mappato | |
data.UserAgent |
network.http.user_agent | Mappato quando il campo description contiene User-Agent. |
data.Connection |
security_result.description | Mappato quando il campo description contiene Connection. |
| N/D | metadata.event_type | Il valore predefinito è GENERIC_EVENT. Modifiche a STATUS_UPDATE se data.HOSTNAME viene mappato correttamente a principal.hostname, NETWORK_DNS se question viene compilato o USER_LOGIN se summary contiene Browser login. |
| N/D | metadata.vendor_name | Codificato come HP. |
| N/D | metadata.log_type | Impostato su HPE_ILO. |
| N/D | network.application_protocol | Impostato su LDAP se summary contiene LDAP o DNS se question viene compilato. |
| N/D | extensions.auth.type | Impostato su MACHINE se summary contiene Browser login. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.