HPE iLO ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して HPE iLO ログを Google Security Operations に取り込む方法について説明します。
HPE iLO(Integrated Lights-Out)は、ハードウェア イベント、認証試行、DNS クエリ、システム ステータスの変更に関する syslog メッセージを生成するリモート サーバー管理プロセッサです。パーサーは JSON と grok パターン マッチングを使用して、HP iLO ログ形式からフィールドを抽出し、統合データモデル(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと HPE iLO 管理インターフェース間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
- HPE iLO への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane エージェントをインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows へのインストール
- 管理者としてコマンド プロンプト または PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux へのインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまでお待ちください。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスは active (running) と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集する
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/hpe_ilo: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HPE_ILO raw_log_field: body service: pipelines: logs/hpe_ilo_to_chronicle: receivers: - udplog exporters: - chronicle/hpe_ilo
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする場合は
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux では root が必要です。root 以外の場合は1514を使用してください)。
- すべてのインターフェースでリッスンする場合は
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xを押します。 - Windows: [ファイル] > [保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rを押して「services.msc」と入力し、Enter キーを押します。- [observIQ OpenTelemetry Collector] を探します。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
HPE iLO で syslog を構成する
- HPE iLO ウェブ UI にログインします。
- [Management > Remote Syslog] タブに移動します。
- [Enable iLO Remote Syslog] をクリックします。
- 次の構成情報を提供してください。
- リモート Syslog ポート: Bindplane ポート番号(
514など)を入力します。 - リモート Syslog サーバー: Bindplane IP アドレスを入力します。
- リモート Syslog ポート: Bindplane ポート番号(
- [Send Test Syslog] をクリックして、受信されたことを確認します。
- [適用] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
data |
このフィールドは解析され、その内容に基づいてさまざまな UDM フィールドにマッピングされます。 | |
data.HOSTNAME |
principal.hostname | [message] フィールドの最初の grok パターンが一致した場合、または [description] フィールドに「Host」が含まれている場合にマッピングされます。event_type が STATUS_UPDATE かどうかを判断します。 |
data.HOSTNAME |
network.dns.questions.name | [message] の「DATA」に一致する grok パターンによって入力されます。空ではなく、「(?i)not found」が含まれていない場合は、dns.questions の入力に使用されます。 |
data.HOSTNAME |
target.user.user_display_name | [message] の「DATA」に一致する grok パターンによって入力されます。 |
data.IP |
target.ip | [message] または [summary] の「IP」に一致する grok パターンによって入力されます。 |
data.WORD |
metadata.product_event_type | [message] の「WORD」に一致する grok パターンによって入力されます。 |
data.GREEDYDATA |
security_result.summary | [message] の「GREEDYDATA」に一致する grok パターンによって入力されます。その内容に基づいて、network.application_protocol と event_type を決定するために使用されます。 |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | さまざまなタイムスタンプ形式に基づいて、date プラグインによって入力されます。 |
data.MONTHNUM |
マッピングされません | |
data.MONTHDAY |
マッピングされません | |
data.YEAR |
マッピングされません | |
data.TIME |
マッピングされません | |
data.HOST |
principal.hostname | [message] フィールドの 2 番目の grok パターンが一致した場合にマッピングされます。 |
data.INT |
マッピングされません | |
data.UserAgent |
network.http.user_agent | description フィールドに User-Agent が含まれている場合にマッピングされます。 |
data.Connection |
security_result.description | description フィールドに Connection が含まれている場合にマッピングされます。 |
| なし | metadata.event_type | デフォルトは GENERIC_EVENT です。data.HOSTNAME が principal.hostname に正常にマッピングされた場合は STATUS_UPDATE に、question が入力された場合は NETWORK_DNS に、summary に Browser login が含まれている場合は USER_LOGIN に変更されます。 |
| なし | metadata.vendor_name | HP にハードコードされています。 |
| なし | metadata.log_type | HPE_ILO に設定します。 |
| なし | network.application_protocol | summary に LDAP が含まれている場合は LDAP に、question が入力されている場合は DNS に設定します。 |
| なし | extensions.auth.type | summary に Browser login が含まれている場合は MACHINE に設定します。 |
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。