Diese Seite wurde von der Cloud Translation API übersetzt.

VMware VeloCloud SD-WAN-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie VMware VeloCloud SD-WAN-Logs mit Bindplane in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Privilegierter Zugriff auf VMware VeloCloud SD-WAN
Ein Cloud Virtual Private Network (Branch-to-Branch-VPN), das zwischen dem Edge-Gerät und dem Syslog-Collector (Bindplane-Agent) konfiguriert ist

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VELO_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog für VMware VeloCloud SD-WAN konfigurieren

Melden Sie sich in der Web-UI des VeloCloud Enterprise-Portals an.
Rufen Sie SD‑WAN-Dienst > Konfigurieren > Profile auf.
Klicken Sie auf den Link zum Profil, um ein Profil zu konfigurieren, oder in der Spalte Gerät des Profils auf den Link anzeigen.
Wählen Sie Segmentmenü konfigurieren > Globales Segment aus, um die Syslog-Einstellungen zu konfigurieren.
Gehen Sie unter Telemetrie zum Bereich Syslog:
1. Klicken Sie das Kästchen Syslog aktivieren an.
2. Klicken Sie auf + Hinzufügen.
3. Geben Sie die folgenden Konfigurationsdetails an:
  - Einrichtung: Wählen Sie local0 aus.
  - IP: Geben Sie die Ziel-IP-Adresse des Syslog-Collectors ein.
  - Protokoll: Wählen Sie entweder TCP oder UDP als Syslog-Protokoll aus.
  - Port: Geben Sie die Portnummer des Syslog-Collectors ein (Standardwert ist 514).
  - Quellschnittstelle: Dieses Feld ist auf Profilebene auf Auto festgelegt. Edge wählt automatisch eine Schnittstelle aus, für die das Feld Advertise festgelegt ist.
  - Rollen: Wählen Sie entweder FIREWALL EVENT (Firewallereignis) oder EDGE AND FIREWALL EVENT (Edge- und Firewallereignis) aus.
  - Syslog-Ebene: Wählen Sie INFO aus.
  - Alle Segmente: Klicken Sie das Kästchen Alle Segmente an.
    
    Hinweis :Wenn Sie das Kästchen Alle Segmente nicht auswählen, empfängt der Syslog-Collector Firewall-Logs nur aus dem jeweiligen Segment, in dem er konfiguriert ist.
Speichern Sie die Änderungen.
Rufen Sie die Seite Firewall der Profilkonfiguration auf.
Klicken Sie auf Syslog Forwarding (Syslog-Weiterleitung), um Firewall-Logs, die vom Enterprise Edge stammen, an Ihre konfigurierten Syslog-Collector weiterzuleiten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten