收集 Illumio Core 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Illumio Core 日志注入到 Google Security Operations。
解析器从 Illumio Core JSON、SYSLOG、SYSLOG+JSON 和 SYSLOG+CEF 格式的日志中提取字段。它使用 grok 和/或 JSON 解析来解析日志消息,然后将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Illumio Policy Compute Engine (PCE) Web 控制台的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector
该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector
该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'ILLUMIO_CORE' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
配置参数
替换以下占位符:
接收器配置:
tcplog:使用udplog表示 UDP syslog,使用tcplog表示 TCP syslog0.0.0.0:要监听的 IP 地址(0.0.0.0表示监听所有接口)514:要监听的端口号(标准 syslog 端口)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:日志类型,与在 Chronicle 中显示的完全一致 (ILLUMIO_CORE)
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
在 Illumio Core 上配置 Syslog 转发
- 登录 Illumio Policy Compute Engine (PCE) Web 控制台。
- 依次前往设置 > 活动设置。
- 在 Syslog 目标 (Syslog Destinations) 部分,点击添加。
- 提供以下配置详细信息:
- 说明:输入描述性名称(例如
Google-SecOps-Bindplane)。 - 远程 Syslog 目标:输入 Bindplane 代理主机 IP 地址。
- 端口:输入
514。 - 协议:选择 TCP。
- 严重程度:选择信息(或您偏好的严重程度,建议选择 6 级以实现全面的日志记录)。
- 格式:选择 CEF(通用事件格式)以进行结构化解析。
- 说明:输入描述性名称(例如
- 在事件类型部分中,选择要转发的事件:
- 组织活动:组织级变更
- 可审核的事件:用户和 API 审核轨迹
- 流量事件:网络流量摘要
- 节点事件:VEN 和工作负载状态变化
- 点击保存。
- 通过检查 Bindplane 代理日志,验证是否正在发送 syslog 消息。
或者,通过 API 进行配置:
curl -X POST "https://PCE_HOST:8443/api/v2/orgs/ORG_ID/settings/syslog/destinations" \
-H "Content-Type: application/json" \
-u "API_KEY:API_SECRET" \
-d '{
"description": "Google-SecOps-Bindplane",
"remote_syslog": "BINDPLANE_IP",
"remote_syslog_port": 514,
"remote_syslog_protocol": 6,
"severity": 6,
"type": "cef"
}'
- 将
PCE_HOST、ORG_ID、API_KEY、API_SECRET和BINDPLANE_IP替换为您自己的值。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。