Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di VMware Tanzu

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di VMware Tanzu in Google Security Operations utilizzando l'agente Bindplane.

VMware Tanzu è una piattaforma Kubernetes che genera audit log in formato JSON e syslog per eventi del server API Kubernetes, accesso alle risorse, decisioni di autenticazione e modifiche alla configurazione. Il parser estrae i campi dai log di controllo in formato JSON e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e Tanzu Operations Manager
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso privilegiato a VMware Tanzu

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vmware_tanzu:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VMWARE_TANZU
        raw_log_field: body

service:
    pipelines:
        logs/vmware_tanzu_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vmware_tanzu

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura Syslog per VMware Tanzu

Accedi all'interfaccia utente web di Tanzu Operations Manager.
Seleziona il tuo Nome utente e poi fai clic su Impostazioni.
Seleziona Syslog.
Fai clic su Sì per inviare i log di sistema a un server remoto.
Fornisci i seguenti dettagli di configurazione:
- Indirizzo: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci il numero di porta dell'agente Bindplane.
- Protocollo di trasporto: seleziona UDP o TCP, a seconda della configurazione dell'agente Bindplane.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`annotations.authorization.k8s.io/decision`	`security_result.action`	Se l'annotazione `authorization.k8s.io/decision` esiste, il relativo valore viene convertito in maiuscolo. Se il valore in maiuscolo è "ALLOW", il campo UDM è impostato su ALLOW. In caso contrario, è impostato su BLOCK.
`annotations.authorization.k8s.io/reason`	`security_result.description`	Se esiste l'annotazione `authorization.k8s.io/reason`, viene utilizzato il relativo valore (senza virgolette doppie).
`apiVersion`	`metadata.product_version`	Mappato direttamente.
`auditID`	`metadata.product_log_id`	Mappato direttamente.
`kind`	`metadata.product_event_type`	Mappato direttamente.
`objectRef.name`	`target.resource.name`	Mappato direttamente.
`objectRef.namespace`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	`key` è impostato su "namespace" e `value` viene estratto da `objectRef.namespace`.
`objectRef.resource`	`target.resource.resource_subtype`	Mappato direttamente.
`objectRef.resourceVersion`	`target.resource.attribute.labels.key`, `target.resource.attribute.labels.value`	`key` è impostato su "resourceVersion" e `value` viene estratto da `objectRef.resourceVersion`.
`objectRef.uid`	`target.resource.product_object_id`	Mappato direttamente.
`requestReceivedTimestamp`/`timestamp`	`metadata.event_timestamp`	Il parser tenta di analizzare prima `requestReceivedTimestamp`. Se non è presente, viene utilizzato il campo `timestamp` estratto dal prefisso syslog.
`requestURI`	`target.url`	Mappato direttamente.
`responseStatus.code`	`network.http.response_code`	Mappato direttamente dopo la conversione in un numero intero.
`sourceIPs`	`principal.ip`	Tutti gli indirizzi IP nell'array `sourceIPs` vengono aggiunti all'array `principal.ip`.
`stage`	`metadata.description`	Mappato direttamente.
`stageTimestamp`	`metadata.collected_timestamp`	Mappato direttamente.
`user.groups`	`principal.user.group_identifiers`	Tutti i gruppi nell'array `user.groups` vengono aggiunti all'array `principal.user.group_identifiers`.
`user.uid`	`principal.user.userid`	Mappato direttamente.
`user.username`	`principal.user.user_display_name`	Mappato direttamente.
`verb`	`network.http.method`	Mappato direttamente dopo la conversione in maiuscolo. Determinato dal campo `verb`. Se `verb` è "CREATE", il tipo di evento è `USER_RESOURCE_CREATION`. Se `verb` è "PATCH" o "UPDATE", il tipo di evento è `USER_RESOURCE_UPDATE_CONTENT`. Se `verb` è "DELETE", il tipo di evento è `USER_RESOURCE_DELETION`. Altrimenti, se `verb` non è vuoto, il tipo di evento è `USER_RESOURCE_ACCESS`. Se nessuna di queste condizioni è soddisfatta, il tipo di evento viene impostato su `GENERIC_EVENT`. Codificato in modo permanente su "VMWARE_TANZU". Codificato in modo permanente su "VMWARE". Codificato in modo permanente su "VMWARE_TANZU". Codificato come "CLUSTER".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.