Mengumpulkan log MicroStrategy
Dokumen ini menjelaskan cara menyerap log MicroStrategy ke Google Security Operations menggunakan Bindplane.
MicroStrategy adalah platform business intelligence dan analisis. Platform ini menghasilkan log audit untuk eksekusi laporan, sesi pengguna, akses data, dan operasi admin. Parser mengekstrak kolom dari pesan log MicroStrategy dan memetakannya ke Model Data Terpadu (UDM), yang menangkap identitas pengguna, detail sesi, informasi server, dan metadata keamanan.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan MicroStrategy Intelligence Server
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke MicroStrategy Intelligence Server (peran administrator atau akses sistem file server)
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
Download Ingestion Authentication File. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Profile.
Salin dan simpan Customer ID dari bagian Organization Details.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collector
Layanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak akses root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collector
Layanan akan ditampilkan sebagai active (running).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen Bindplane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirim ke Google SecOps
Menemukan file konfigurasi
Linux:
sudo systemctl status observiq-otel-collectorWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Mengedit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/microstrategy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: MICROSTRATEGY raw_log_field: body service: pipelines: logs/microstrategy: receivers: - tcplog exporters: - chronicle/microstrategy
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
tcplog: Jenis penerima berdasarkan protokol:udploguntuk UDP syslogtcploguntuk TCP syslogsysloguntuk RFC 3164/5424 syslog
0.0.0.0: Alamat IP untuk diproses:0.0.0.0untuk diproses di semua antarmuka (direkomendasikan)- Alamat IP tertentu untuk diproses di satu antarmuka
514: Nomor port untuk diproses (misalnya,514,1514,6514)
Konfigurasi pengekspor:
<customer_id>: ID Pelanggan dari langkah sebelumnyamalachiteingestion-pa.googleapis.com: URL endpoint regional:- US:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk daftar lengkap
- US:
- Sesuaikan
creds_file_pathbergantung pada platform:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
Menyimpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Memulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorVerifikasi bahwa layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collector- Konsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan dan pilih Restart.
- Tekan
Verifikasi bahwa layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog MicroStrategy
MicroStrategy Intelligence Server menulis file log secara lokal ke sistem file. Konfigurasikan penerusan syslog menggunakan daemon syslog sistem untuk mengirim log ini ke agen Bindplane.
Temukan direktori log MicroStrategy:
- Windows:
C:\Program Files\Common Files\MicroStrategy\Log\ - Linux:
/var/log/Strategy/
- Windows:
Konfigurasikan daemon syslog sistem untuk memantau dan meneruskan file log MicroStrategy ke agen Bindplane.
Di Linux (rsyslog):
Buat file konfigurasi rsyslog baru:
sudo nano /etc/rsyslog.d/microstrategy-forward.confTambahkan konten berikut untuk meneruskan log MicroStrategy:
module(load="imfile") input(type="imfile" File="/var/log/Strategy/DSSErrors.log" Tag="microstrategy" Severity="info" Facility="local0") local0.* @BINDPLANE_AGENT_IP:514Mulai ulang layanan rsyslog:
sudo systemctl restart rsyslog
Di Windows:
Gunakan utilitas penerus log (seperti NXLog atau Snare) untuk memantau direktori log MicroStrategy dan meneruskan peristiwa melalui syslog ke IP dan port agen Bindplane.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| Account_Creation_Timestamp, Account_Modification_Timestamp, Timestamp | additional.fields | Digabungkan dengan label yang dibuat dari kolom jika tidak kosong |
| Authentication_message | metadata.description | Nilai disalin langsung |
| Event_start | metadata.event_timestamp | Dikonversi menggunakan filter tanggal dengan format "MMM dd HH:mm:ss" |
| metadata.event_type | Ditetapkan ke "USER_UNCATEGORIZED" jika has_principal dan has_target, atau "STATUS_UPDATE" jika has_principal, atau "GENERIC_EVENT" | |
| Session | network.session_id | Nilai disalin langsung |
| Source_server | principal.application | Nilai disalin langsung |
| Hostname | principal.asset.hostname | Nilai disalin langsung |
| server_ip | principal.asset.ip | Nilai disalin langsung |
| Hostname | principal.hostname | Nilai disalin langsung |
| server_ip | principal.ip | Nilai disalin langsung |
| level | principal.platform_patch_level | Nilai disalin langsung |
| User_Group_Name | principal.user.group_identifiers | Nilai disalin langsung |
| Account_Name, User | principal.user.user_display_name | Nilai dari Account_Name jika tidak kosong, atau User |
| id, Account_Login, Account | principal.user.userid | Nilai dari id jika tidak kosong, atau Account_Login jika tidak kosong, atau Account |
| Log_level | security_result.detection_fields | Digabungkan dengan label yang dibuat dari kolom jika tidak kosong |
| Source_host | src.asset.hostname | Nilai disalin langsung |
| Source_host | src.hostname | Nilai disalin langsung |
| modul | target.application | Nilai disalin langsung |
| client_ip | target.asset.ip | Nilai disalin langsung |
| client_ip | target.ip | Nilai disalin langsung |
| PID | target.process.pid | Nilai disalin langsung |
| Thread_ID, SID, method, Account_Status_DESC | target.resource.attribute.labels | Digabungkan dengan label yang dibuat dari kolom jika tidak kosong |
| OID | target.resource.id | Nilai disalin langsung |
| Object_Owner_Name | target.resource.name | Nilai disalin langsung |
| pengguna | target.user.user_display_name | Nilai disalin langsung |
| UID | target.user.userid | Nilai disalin langsung |
| metadata.product_name | Ditetapkan ke "MICROSTRATEGY" | |
| metadata.vendor_name | Ditetapkan ke "MICROSTRATEGY" |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.